Por Jose Luis Lopez videosoft@videosoft.net.uy Klez.E está convirtiéndose en una plaga bastante difícil de erradicar. Valiéndose de conocidas vulnerabilidades del Internet Explorer, el gusano puede infectarnos con solo visualizar el mensaje en el panel de vista previa, o al intentar leerlo. No es necesario abrir ningún adjunto.
F-Secure y otras compañías de antivirus, están advirtiendo de un grave peligro que puede afectar a aquellos que se hayan infectado o se infecten hoy 6 de marzo, con el Klez.E. Este virus posee una complicada rutina maliciosa, que realiza un chequeo constante de la fecha del sistema. Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual a 6 (o sea hoy 6 de marzo), el gusano puede borrar todos los archivos con extensión txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak, y mp3, sobreescribiendo los mismos con datos al azar, haciendo imposible su recuperación. Dentro de estas fechas, el 6 de enero y el 6 de julio, la rutina destructiva es aún más severa, ya que borra todos los archivos de todas las unidades de disco locales y en red. Esta acción del virus no ocurrió en enero, porque los primeros reportes de esta variante aparecieron después de esa fecha, y las variantes anteriores del Klez no se habían propagado tanto como la actual. Aun sin el borrado total de archivos del 6 de enero y 6 de julio, la rutina destructiva de los demás días seis de meses impares (como hoy 6 de marzo), es muy severa. Archivos muy usados como documentos de Word (.DOC), Excel (.XLS), música (.MP3, .WAB, etc.), páginas Web (.HTM) y textos (.TXT) entre otros, pueden desaparecer totalmente de su disco duro, y de las unidades de red compartidas. Esto es muy crítico en redes corporativas o pequeñas empresas. Una sola computadora infectada, conectada en red a otras, puede acabar con el trabajo de cientos de horas de toda la empresa. Imagínese perder los respaldos de su sitio Web, y en muchos casos, el propio sitio. Es solo un ejemplo, de tantos que pueden darse bajo estas condiciones. Las numerosas listas de virus más reportados (incluida
la de VSAntivirus), difieren en la cantidad de incidencias del Klez.E en el
último mes. La mayoría lo coloca en los primeros diez lugares. La
tendencia, detectada también en nuestros propios servicios monitores, es
que el Klez.E está aumentando a pasos agigantados la cantidad de reportes,
en los pocos días que lleva el mes de marzo. En VSAntivirus hemos detectado
casi 15 incidencias en solo tres días, lo que nos da una idea de este
aumento, si lo comparamos con los 36 de todo el mes de febrero, según
nuestra tabla de incidencias Esto hace pensar que la cantidad de reportes debido a la acción destructiva de hoy 6 de marzo del virus, pueda llegar a ser importante.
Una de las más endiabladas rutinas de las versiones más actuales del Klez.E, hace que muchos mensajes sean enviados por un usuario falso. De ese modo, no es extraño recibir un mensaje del mismísimo bgates@microsoft.com infectado. Con estas características, el virus se vuelve sumamente peligroso. Cualquier conocido puede "enviarle" un mensaje infectado con el Klez.E, incluidos nosotros, sin que realmente el mensaje haya salido de nuestras computadoras, ni estemos infectados. Este comportamiento, está notándose mucho más en los últimos días, debido al aumento de incidencias del Klez.E. Para estar protegidos, solo nos queda desconfiar más que nunca, de todo mensaje recién recibido, sin importar de quien venga, y tener los parches correspondientes en nuestro Internet Explorer y Outlook Express. Es posible que el gusano haya evolucionado, y que variantes con pequeñas diferencias hayan llevado a presentar esta característica, no informada en los primeros reportes del Klez.E, muchos de los cuales mencionan mensajes infectados sin asunto, por ejemplo.
Cuando Klez.E infecta una máquina, una de sus características es detener los procesos activos de otros virus, como el Nimda, el Sircam, el Funlove, el CodeRed, y probablemente también las variantes anteriores del Klez. Uno de los textos detectados en el cuerpo del virus dice (en inglés), algo como "intentaré lo mejor de mi parte para proteger al usuario de maliciosos virus como Funlove, Sircam, Nimda, CodeRed e incluso W32.Klez 1.X". Lo que demuestra el retorcido sentido del humor del autor del virus, si tenemos en cuenta las rutinas destructivas del propio Klez.E. Aunque no hay informes comprobados, el autor del Klez podría ser un programador asiático, aunque la referencia en su código ("made in Asia"), no debe ser tomado como prueba concluyente. Sin embargo, en los ambientes relacionados, poco se ha dicho del verdadero autor, quizás temiendo las represalias que en otros casos se han dado. Lo cierto de todo esto, es que el Klez no solo detiene la acción de algunos virus, sino también la de conocidos antivirus, volviendo aún más irónico y malicioso, la proclama antiviral que mencionábamos. Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV), InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados cuando el virus toma el control. Esto deja a los usuarios que ignoran estar infectados, totalmente indefensos ante el ataque de cualquier otro virus.
La única protección efectiva para este gusano, es actualizar el Internet Explorer con el parche al que Microsoft se refiere en su boletín MS01-020 (o MS01-027) (ver Referencias al pie de este artículo). El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado. Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna. Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados. También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic. El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto).
CLARV es una utilidad creada por Kaspersky Labs para eliminar la infección del Klez (y otros virus, como se explica en el enlace a nuestro sitio). Siga estos pasos para utilizar CLRAV (*):
Nota: Si su PC está conectado a una red, desconecte cada PC de la red, y repita este proceso EN CADA PC. (*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All rights reserved. Referencias: http://www.vsantivirus.com/06-03-02.htm VSantivirus No. 476 - 27/oct/01 VSantivirus No. 476 - 27/oct/01 VSantivirus No. 476 - 27/oct/01 VSantivirus No. 483 - 3/nov/01 VSantivirus No. 484 - 4/nov/01 VSantivirus No. 490 - 10/nov/01 VSantivirus No. 559 - 18/ene/02 W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión http://www.vsantivirus.com/klez-e.htm VSantivirus No. 476 - 27/oct/01 VSantivirus No. 559 - 18/ene/02 VSantivirus No. 266 - 31/mar/01 VSantivirus No. 324 - 28/may/01 VSantivirus No. 548 - 7/ene/02 VSantivirus No. 602 - 1/mar/02 (c) Video Soft - http://www.videosoft.net.uy
|
