VSantivirus No. 559 - Año 6 - Viernes 18 de enero de 2002

VSantivirus No. 559 - Año 6 - Viernes 18 de enero de 2002

VSantivirus No. 559 - Año 6 - Viernes 18 de enero de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
2 - W32/Elkern.B. Peligroso virus que acompaña al Klez
_____________________________________________________________

1 - W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
_____________________________________________________________

Nombre: W32/Klez.E
Tipo: Gusano de Internet e infector de archivos
Alias: Klez.E, I-Worm.Klez.E, Stemdil, Klez.D, TROJ_KLEZ.E
Fecha: 17/ene/02
Fuente: F-Secure, Symantec, Panda, Sophos

Klez.E (Klez.D para algunos antivirus) es una nueva variante
del Klez. Descubierto el 17 de enero de 2002, de acuerdo al
autor del virus, se trata de una auténtica "versión 2.0", que
agrega características e ideas no presentes en las versiones
anteriores. Sin embargo, aún conserva algunos errores que
presentaba en estas.

Básicamente, es un gusano de envío masivo a través de
Internet, en mensajes con asuntos y textos totalmente
diferentes unos de otros, seleccionados al azar. Posee la
misma característica de las versiones anteriores, de poder
ejecutarse sin necesidad de abrir ningún adjunto, por el
simple hecho de leer un mensaje infectado (o por verlo en el
panel de vista previa).

Esta versión, también es capaz de copiarse a todas las
unidades de red compartidas.

Ahora puede infectar por si mismo a otros ejecutables, además
de liberar una nueva versión del virus W32/Elkern.

También es capaz de eliminar diferente software antivirus y
de seguridad, instalados en la computadora infectada.

Las principales diferencias con las versiones anteriores son:

1. Se instala en el directorio SYSTEM de WINDOWS con un
nombre como WINKxxxx.EXE, por ejemplo. Las "xxxx"
corresponden a 2 o 3 letras seleccionadas al azar por el
gusano. El registro es modificado para obligar a su ejecución
en el reinicio de Windows.

2. El gusano ahora es realmente un virus, y puede infectar
archivos .EXE, copiando su código al comienzo del archivo
infectado. Cuando infecta un archivo .EXE, el gusano crea un
archivo temporal con el mismo nombre del archivo infectado,
pero con una extensión seleccionada al azar.

Encripta el cabezal del programa infectado. Cuando un archivo
infectado se ejecuta, el gusano descomprime el código puro
del archivo host al disco duro, con el nombre original más la
seudo extensión MP8, y lo ejecuta. Cuando el programa
finaliza, el gusano borra ese archivo temporal.

No infecta archivos con los siguientes nombres:

EXPLORER
CMMGR
MSIMN
ICWCONN
WINZIP

3. El virus posee capacidad de propagación en redes. La nueva
versión del Klez, enumera los recursos de red disponibles, y
se copia a si mismo a las unidades remotas dos veces en cada
una. Una vez como un archivo ejecutable con simple o doble
extensión, y la segunda vez como un archivo comprimido RAR,
que puede tener también una o dos extensiones. El archivo RAR
contiene el ejecutable del gusano con uno de los siguientes
nombres:

setup
install
demo
snoopy
picacu
kitty
play
rock

La primera extensión del archivo RAR o la del ejecutable del
gusano puede ser una de estas:

.txt
.htm
.html
.wab
.doc
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3

La segunda o la única extensión del ejecutable del gusano
puede ser:

.exe
.scr
.pif
.bat

El nombre del archivo RAR así como el del ejecutable del
gusano, puede ser randómico o tomado de otro archivo que el
virus encontró previamente en el sistema infectado. Algunos
ejemplos: QQ.PAS.EXE, KERNEL.MP3.PIF, DOCUMENT.SCR, etc.

4. Mata las tareas del software antivirus y de seguridad, así
como las creadas por otros gusanos que pudieran estar activos
(como Nimda, Sircam, Funlove y CodeRed).

Abre los procesos activos, y busca textos específicos en sus
nombres. Cada vez que encuentra coincidencias, el gusano
termina ese proceso. Los textos buscados son los siguientes:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Además, finaliza los procesos que tengan los siguientes
nombres:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

5. Borra del registro, las claves de autoarranque de
diferente software de seguridad y programas antivirus,
deshabilitando este software o parte de él, en el próximo
reinicio de Windows.

6. Altera los archivos de chequeo de integridad y las bases
de datos de algunos antivirus, que tengan los siguientes
nombres:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

7. Libera una nueva versión del virus Elkern ("version 1.1"
según su autor), identificado como W32/Klez.b.

8. Puede corromper los archivos binarios ejecutables y los de
datos involucrados.

9. Contiene el siguiente texto en su código, que nunca es
mostrado:

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don't accuse me.Please accuse the unfair sh*t world

10. Los mensajes infectados enviados por esta nueva versión
del Klez, se generan por medio de complicadas reglas, lo que
hace posible la creación de una gran cantidad de mensajes
todos diferentes, lo que dificulta su detección a simple
vista. Además, puede crear frases como:

The attachment is a very dangerous virus that spread trough e-mail.
The file is a special dangerous virus that can infect on Win98/Me/2000/XP.

El cuerpo del mensaje, también puede estar en blanco.

Los asuntos, además, pueden ser seleccionados de esta lista:

How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures

Alrededor de fechas especiales, puede enviar mensajes acordes
a ellas, como:

Happy Christmas
Happy New Year

Los adjuntos, pueden tener cualquiera de estas extensiones:

.PIF
.SCR
.EXE

Cómo las variantes anteriores del Klez, ésta utiliza la
vulnerabilidad llamada "Incorrect MIME Header" (MS01-020) que
permite la ejecución automática de los adjuntos mientras el
mensaje simplemente es leído, o visto en el panel de vista
previa.

Los destinatarios de los mensajes conteniendo archivos
adjuntos con una copia del virus, que envía el gusano, son
coleccionados de la libreta de direcciones de Windows (.WAB)
y de la base de datos del ICQ si corresponde.

Klez utiliza su propia rutina SMTP de modo que puede enviar
los mensajes sin recurrir a ningún programa de correo
instalado en la computadora infectada.

Los mensajes enviados tendrán como remitentes direcciones
tomadas de la siguiente lista:

pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
reet@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
tutu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ol-petech@terra.es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
cristian_soto@terra.es
carlos_nuevo@terra.es

* Descripción técnica

Cuando se ejecuta por primera vez, el gusano se copia a si
mismo a la carpeta de sistema de Windows (C:\Windows\System o
C:\Winnt\System32 por ejemplo), con el nombre de WINKxxx.EXE
donde las xxxx son caracteres al azar.

También modifica el registro de Windows para ejecutarse en
cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinkXXX = C:\Windows\System\WinkXXX.exe

* Forma manual de eliminar el gusano

1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha
pinche sobre las entradas que coincidan con las siguientes
(la segunda corresponde al virus W32/Elkern.B que acompaña al
Klez, ver http://www.vsantivirus.com/elkern-b.htm ):

WinkXXX C:\Windows\System\WinkXXX.exe
WQK C:\Windows\System\Wqk.exe

4. Márquelas, recordando que en el caso de las "XXX" puede
ser cualquier serie de caracteres al azar, y pulse la tecla
SUPR o DEL. Conteste afirmativamente la pregunta de si desea
borrar cada clave.

5. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

7. Ejecute uno o dos antivirus al día.

Relacionados:

VSantivirus No. 476 - 27/oct/01
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

VSantivirus No. 483 - 3/nov/01
W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

VSantivirus No. 484 - 4/nov/01
W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

VSantivirus No. 490 - 10/nov/01
W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

VSantivirus No. 559 - 18/ene/02
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm

VSantivirus No. 324 - 28/may/01
Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - W32/Elkern.B. Peligroso virus que acompaña al Klez
_____________________________________________________________

Nombre: W32/Elkern.B
Tipo: Infector de archivos de Windows 98
Alias: Elkern.b, PE_ELKERN.B, Win32.Klez.b
Fecha: 17/ene/02
Fuente: F-Secure, Trend Micro

Elkern.b es un virus polimórfico y parásito, capaz de
infectar ejecutables en formato PE, y que solo funciona bajo
Windows 98 y Me, debido a sus características. Es capaz de
infectar usando las "cavidades" del archivo original, no
modificando los tamaños de dicho archivo (esta técnica se
denomina "cavity").

Originalmente apareció con la primera versión del gusano
Klez, en octubre de 2001, cuando era liberado por este en un
sistema infectado. Pero también ha sido visto en forma
independiente del Klez, luego de esa fecha.

El virus consiste en 4 partes, el desencriptador inicial, el
código de inicio, la tabla API y el código principal.

Cuando el código del virus toma el control, el desencriptador
inicial, desencripta el código de inicio y le pasa el
control.

El virus localiza la librería principal de Windows,
KERNEL32.DLL para examinar la memoria de Windows y tomar la
dirección de las 27 funciones API de Windows.

Luego, prepara su propio bloque de memoria para él, y copia
su cuerpo en diversos sitios del disco.

Si el virus se ejecuta desde un archivo infectado, el mismo
ensambla su código principal recolectándolo de las diversas
"cavidades" en que se había copiado.

Luego, el virus desencripta su cuerpo principal, borra sus
llaves de encriptación anteriores y le pasa el control al
código principal. El virus utiliza llaves de encriptación
variables (keys) para encriptar y desencriptar su código
principal.

Cuando el código principal toma el control, lo primero que
hace es llamar a la función API llamada IsDebuggerPresent API
function.

El virus, por error de programación o desconocimiento, llama
a esta función usando una dirección fija para esta API. Y
esta dirección es solo válida en Windows 98 y Me.

En los otros sistemas operativos, el virus ocasiona el
cuelgue de Windows.

El virus se inicia a si mismo como un proceso de servicio y
por lo tanto su acción no es visible en la lista de tareas.

En Windows 98, el virus copia el archivo que empezó la
confusión (él mismo) al directorio Windows\System, con el
nombre de WQK.EXE. Luego marca los atributos "name", "sets
hidden", system y read-only (solo lectura). Luego crea las
claves en el registro para activarse en los próximos
reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

En Windows NT y 2000 el virus libera su propio código con el
nombre de WQK.DLL en la carpeta \System32\ e intenta crear
una llave de entrada "AppInit_DLLs" en la siguiente clave:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

Cómo vimos, debido a un error, el virus falla y cuelga la
máquina..

En otros sistema (Win98), el virus busca archivos ejecutables
en formato PE en los directorios locales y en las unidades de
red compartidas y los infecta, preservando sus atributos
originales. Solo infecta archivos PE (.EXE, .SCR), mayores de
8192 bytes.

El virus genera diferentes llaves de encriptación al infectar
archivos nuevos, para lo que utiliza las "cavidades" del
archivo original, sin modificar el tamaños de este.

En esta versión no aparecen otras diferencias, e incluso, el
error que hace que funcione solo en Windows 98, sigue
idéntico.

El ejecutable del virus no muestra ningún icono.

El virus posee una rutina destructiva que sobrescribe el
contenido de los archivos con ceros, haciéndolos
irrecuperables (salvo desde un respaldo anterior).

Esta rutina se activa el 13 de marzo o el 13 de setiembre.

El virus puede llegar a infectar a su propio portador, el
gusano W32/Klez.E que lo copió en esa máquina.

Vea la descripción del virus W32/Klez.E, para las
instrucciones de como quitar este virus de un sistema
infectado (http://www.vsantivirus.com/klez-e.htm)