GUSANO

Klez.H

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Klez.I, Klez.G, Klez.H

Es una nueva variante del peligroso gusano Klez. Aparecida el 17 de abril de 2002 en países asiáticos cuenta con una longitud de 94,932 bytes.

Escrito en Visual C++ se propaga a través de correo electrónico y a través de redes locales además, utiliza una vulnerabilidad de Internet Explorer, la cual permite ejecutar ficheros adjuntos automáticamente al abrir o visualizar a través de la vista previa de Outlook.

Hasta su ejecución el gusano decodifica sus datos en la memoria, luego se copia en el archivo WINK*.EXE en el directorio de sistema de Windows con atributo "oculto" siendo el signo * un número aleatorio de caracteres al azar.

Crea la siguiente entrada de registro para ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\line CurrentVersion
Wink*, "wink*.exe"

Difusión a través de red:

Puede propagarse a través de carpetas y unidades compartidas con permiso de lectura y escritura donde se copiará dentro de los archivos con nombres generados al azar y con extensiones:

EXE
PIF
COM
BAT
SCR
RAR

Ocasionalmente, el gusano se copia como un archivo con extensión doble. El nombre de la primera extensión puede ser cualquiera de las siguientes:

MP8
EXE
SCR
PIF
BAT
TXT
HTM
HTML
WAB
DOC
XLS
CPP
C
PAS
MPQ
MPEG
BAK
MP3

Siendo la segunda extensión cualquiera de la lista previa.

Difusión a través de correo electrónico:

Mediante su propio mecanismo SMTP, localiza las direcciones de correo de la agenda de Windows (WAB). La ruta y el nombre del archivo de estas están identificadas en la siguiente entrada de registro:

HKEY_CURRENT_USER\line WABFile Name = “<file and pathname of the WAB file>

También obtiene una lista de direcciones desde los archivos con las siguientes extensiones almacenados en el PC infectado:

MP8
EXE
SCR
PIF
BAT
TXT
HTM
HTML
WAB
DOC
XLS
CPP
C
PAS
MPQ
MPEG
BAK
MP3

El formato del mensaje infectado es aleatorio aunque en ocasiones utiliza métodos de ingeniería social para su propagación. En este caso, el asunto del mensaje aparece como "Worm Klez.E immunity" y el texto:

Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.

Donde “mail to me” está representado como un link a la dirección del emisor del e-mail aunque no siempre es una dirección verdadera.

El gusano contiene un texto de su autor que nunca se visualiza y dice lo siguiente:

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP'
2,With very interesting feature.Check it!
3,No any payload.No any optimization'
4,Not bug free,because of a hurry work.No more than three weeks
from having such idea to accomplishing coding and testing'

Otras rutinas infecciosas:

Deshabilita los procesos de ejecución, y ocasionalmente borra archivos ejecutables o programas asociados con los siguientes nombres de productos anti-virus:

AVP32_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95 *SCAN* (donde * puede ser cualquier carácter)
*VIRUS* (donde * puede ser cualquier carácter)
LOCKDOWN2000
Norton Mcafee Antivir
TASKMGR

Chequea en el equipo la existencia de las cadenas anteriores borrándolas si las encuentra en la siguiente clave de registro:

HKEY_LOCAL_MACHINE\line Windows

También elimina los siguientes archivos de nombre:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

Rutina stealth:

En entornos Windows 95/98, el gusano oculta su proceso de la barra de tareas. Sobre sistemas Windows 2000, crea un sistema de servicio y lo registra como un proveedor de control de servicio. Bajo Windows NT no se ejecuta.

Esta versión de Klez también crea otro archivo de nombre aleatorio en la carpeta Archivos de Programas de Windows que en realidad contiene el virus Elkern.C cuya finalidad es infectar ejecutables PE del equipo.

Bajo determinadas condiciones, Klez.H también puede adjuntar a los e-mails que difunde archivos "limpios" encontrados en el sistema atacado, lo que puede suponer un grave riesgo de fuga de información confidencial.


Copyright © VIRUSPROT.COM