Alias: I-Worm.Klez.E, Stemmdil

Esta variante del virus Klez fue descubierta por primera vez el 17 de enero de 2002. Según la clasificación de su autor se trata de la versión 2.0 e incorpora nuevas características respecto de sus variantes anteriores, aunque todavía posee fallos que permanecen de las versiones anteriores.

Las diferencias existentes con la versión original son las siguientes:

1. Se instala en el directorio de sistema de Windows como archivo de nombre WINKxxxx.EX. Las “xxxx” pueden ser 2 o 3 letras aleatorias. El gusano crea una clave de registro con el fin de ejecutarse automáticamente en cada inicio del equipo.

2. El gusano tiene ahora la capacidad de infectar ficheros. Al infectar un archivo .EXE, lo sobreescribe y crea un archivo de backup con el mismo nombre del archivo infectado, pero con una extensión aleatoria con atributos de oculto, de sistema y solo lectura. Cuando el archivo infectado se ejecuta, el gusano extrae el programa original de un archivo de backup con su nombre original mas “MP8” y lo ejecuta. Después de que el programa ha finalizado, el gusano lo borra. Klez.E no infecta archivo de nombre:

EXPLORER
CMMGR
MSIMN
ICWCONN
WINZIP

3. El gusano tiene la capacidad de propagarse a través de redes. Enumera los recursos de la red y se copia en los discos remotos por duplicado - una vez como ejecutable, con una o doble extensión y una segunda vez, como un archivo RAR que puede tener una o dos extensiones también. El archivo RAR contiene el archivo ejecutable del gusano con uno de los siguientes nombres:

Setup, Install, Demo, Snoopy, Picacu, Kitty, Play, Rock

La primera extensión del archivo RAR o del ejecutable del gusano puede ser:

.txt .htm .html. wab .doc. xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3

La segunda o la única extensión del ejecutable del gusano puede ser:

.exe .scr .pif .bat

El nombre del archivo RAR y del archivo ejecutable del gusano o bien es al azar o pertenece a un archivo que el gusano encontró en el sistema. Así por ejemplo puede ser QQ.PAS.EXE, KERNEL.MP3.PIF, DOCUMENT.SCR, etc.

4. El gusano cancela las tareas de los programas anti-virus y del software de seguridad así como los trabajos de otros gusanos como Nimda, Sircam, Funlove y CodeRed. El gusano abre los procesos con el fin de localizar determinadas cadenas de texto. Si encuentra una de las siguientes cadenas, el gusano pone fin a dicho proceso:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
Virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

También concluye los procesos de nombre:

_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR

5. Extrae las claves del registro de seguridad de inicio automático del software anti-virus o de seguridad de modo que no se ejecuten en el próximo inicio de Windows.

6. Afecta a los siguientes checksum de los ficheros del anti-virus y a las bases de datos de chequeadores de integridad:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

7. El gusano descarga una versión del virus Elkern (Versión 1.1 según la clasificación de su autor) también conocido como Win32.Klez.b.

8. Puede corromper ejecutables binarios y archivos de datos.

9. Contiene la siguiente cadena de texto oculta:

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*) Copyright,made in Asia,announcement: 1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X. 2.Well paid jobs are wanted 3.Poor life should be unblessed 4.Don't accuse me.Please accuse the unfair sh*t world

10. El gusano tiene una compleja rutina dañina. Constantemente chequea la fecha del sistema y si el número del mes es impar (1,3,5, etc.) y la fecha es igual a 6 entonces el gusano lleva a cabo más procesos destructivos. Después comprueba si el número del mes es igual a 1 (enero) o 7 (julio) e instala un flag (indicador) especial si es así para, a continuación, activar la rutina del payload. Busca todos los archivos en los discos locales y de red. Si el mes no coincide con ninguno de los anteriores, la rutina solamente afecta a ficheros con las siguientes extensiones:

txt
htm
html
wab
doc
xls
jpg
cpp
c
pas
mpg
mpeg
bak
mp3

De lo contrario, todos los archivos serán infectados. El gusano sobreescribe los archivos encontrados con datos al azar destruyendo su contenido.

11. Los mensajes de e-mail enviados por el virus Klez.E están compuestos de acuerdo a reglas realmente complejas que hacen posible la creación de un gran número de diferentes mensajes. Puede crear frases desde diferentes partes:

'The attachment is a very dangerous virus that spread trough e-mail.' 'The file is a special dangerous virus that can infect on Win98/Me/2000/XP.'

Como otras variantes del Klez, ésta utiliza la vulnerabilidad de la cabecera incorrecta de MIME (MS01-020) para enviar adjuntos que sean automáticamente ejecutados cuando se abra el mensaje.

Los destinatarios del mensaje son seleccionados de la agenda de direcciones de Windows así como de la base de datos de usuarios ICQ. El gusano utiliza sus propias rutinas SMTP de manera que puede enviar e-mails sin pasar a través de un cliente de e-mail.

Klez.E puede enviarse en mensajes con los siguientes asuntos:

how are you
let's be friends
darling don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

Algunas veces también envía mensajes que simulan contener herramientas de eliminación de virus de algunas compañías anti-virus. Por ejemplo:

Subject: <virusname> removal tools
Body:
<virusname> is a dangerous virus that spread through email.
<av_company_name> give you the <virusname> removal tools
For more information,please visit http://www.<av_company_name>.com

El <nombre de la compañía anti-virus> puede ser 'Symantec', 'Mcafee', 'F-Secure' or 'Sophos'. El <nombre del virus> puede ser 'W32.Elkern' o 'W32.Klez'. No ejecutar los adjuntos de tales mensajes.

En ocasiones también puede simular ser un juego, puede enviarse (generalmente como archivos SETUP .EXE O INSTALL.EXE) con el siguiente mensaje:

La primera y últimas líneas pueden variar. Puede incluso enviarse como una felicitación en las siguientes fiestas:

Christmas
New year
Saint Valentine
Allhallowmas
April Fools' Day
Lady Day
Assumption
Candlemas
All Souls' Day
Epiphany

12. El gusano corrompe una gran cantidad de archivos del sistema incluyendo DLL y VDX lo que frecuentemente hace que un sistema quede inutilizable en el siguiente reinicio. La corrupción ocurre porque el gusano intenta preservar el stamp (sello) de hora/fecha de un archivo que pretende infectar y guarda este valor en la cabecera del archivo EXE independientemente de si se trata de cabecera PE, NE o LE. De este modo las cabeceras NE y LE quedan corruptas y los archivos generalmente inutilizables.