VSantivirus No. 607 - Año 6 - Miércoles 6 de marzo de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - ¡Peligro de virus!. Hoy Klez.E puede borrar sus archivos
2 - Máquina virtual Java de Microsoft permite el secuestro
3 - W32/Fully. Un infector de archivos con errores
_____________________________________________________________

1 - ¡Peligro de virus!. Hoy Klez.E puede borrar sus archivos
_____________________________________________________________

http://www.vsantivirus.com/06-03-02.htm

¡Peligro de virus!. Hoy el Klez.E puede borrar sus archivos
Por Jose Luis Lopez
videosoft@videosoft.net.uy

Klez.E está convirtiéndose en una plaga bastante difícil de
erradicar.

Valiéndose de conocidas vulnerabilidades del Internet
Explorer, el gusano puede infectarnos con solo visualizar el
mensaje en el panel de vista previa, o al intentar leerlo. No
es necesario abrir ningún adjunto.

* Una rutina destructiva

F-Secure y otras compañías de antivirus, están advirtiendo de
un grave peligro que puede afectar a aquellos que se hayan
infectado o se infecten hoy 6 de marzo, con el Klez.E.

Este virus posee una complicada rutina maliciosa, que realiza
un chequeo constante de la fecha del sistema.

Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual
a 6 (o sea hoy 6 de marzo), el gusano puede borrar todos los
archivos con extensión txt, htm, html, wab, doc, xls, jpg,
cpp, c, pas, mpg, mpeg, bak, y mp3, sobreescribiendo los
mismos con datos al azar, haciendo imposible su recuperación.

Dentro de estas fechas, el 6 de enero y el 6 de julio, la
rutina destructiva es aún más severa, ya que borra todos los
archivos de todas las unidades de disco locales y en red.

Esta acción del virus no ocurrió en enero, porque los
primeros reportes de esta variante aparecieron después de esa
fecha, y las variantes anteriores del Klez no se habían
propagado tanto como la actual.

Aun sin el borrado total de archivos del 6 de enero y 6 de
julio, la rutina destructiva de los demás días seis de meses
impares (como hoy 6 de marzo), es muy severa.

Archivos muy usados como documentos de Word (.DOC), Excel
(.XLS), música (.MP3, .WAB, etc.), páginas Web (.HTM) y
textos (.TXT) entre otros, pueden desaparecer totalmente de
su disco duro, y de las unidades de red compartidas. Esto es
muy crítico en redes corporativas o pequeñas empresas. Una
sola computadora infectada, conectada en red a otras, puede
acabar con el trabajo de cientos de horas de toda la empresa.
Imagínese perder los respaldos de su sitio Web, y en muchos
casos, el propio sitio. Es solo un ejemplo, de tantos que
pueden darse bajo estas condiciones.

Las numerosas listas de virus más reportados (incluida la de
VSAntivirus), difieren en la cantidad de incidencias del
Klez.E en el último mes. La mayoría lo coloca en los primeros
diez lugares. La tendencia, detectada también en nuestros
propios servicios monitores, es que el Klez.E está aumentando
a pasos agigantados la cantidad de reportes, en los pocos
días que lleva el mes de marzo. En VSAntivirus hemos
detectado casi 15 incidencias en solo tres días, lo que nos
da una idea de este aumento, si lo comparamos con los 36 de
todo el mes de febrero, según nuestra tabla de incidencias
(http://www.vsantivirus.com/virus-report-feb-02.htm).

Esto hace pensar que la cantidad de reportes debido a la
acción destructiva de hoy 6 de marzo del virus, pueda llegar
a ser importante.

* ¿VSAntivirus.com infectado?

Una de las más endiabladas rutinas de las versiones más
actuales del Klez.E, hace que muchos mensajes sean enviados
por un usuario falso. De ese modo, no es extraño recibir un
mensaje del mismísimo bgates@microsoft.com infectado.

Con estas características, el virus se vuelve sumamente
peligroso. Cualquier conocido puede "enviarle" un mensaje
infectado con el Klez.E, incluidos nosotros, sin que
realmente el mensaje haya salido de nuestras computadoras, ni
estemos infectados.

Este comportamiento, está notándose mucho más en los últimos
días, debido al aumento de incidencias del Klez.E.

Para estar protegidos, solo nos queda desconfiar más que
nunca, de todo mensaje recién recibido, sin importar de quien
venga, y tener los parches correspondientes en nuestro
Internet Explorer y Outlook Express.

Es posible que el gusano haya evolucionado, y que variantes
con pequeñas diferencias hayan llevado a presentar esta
característica, no informada en los primeros reportes del
Klez.E, muchos de los cuales mencionan mensajes infectados
sin asunto, por ejemplo.

* Otras características del Klez

Cuando Klez.E infecta una máquina, una de sus características
es detener los procesos activos de otros virus, como el
Nimda, el Sircam, el Funlove, el CodeRed, y probablemente
también las variantes anteriores del Klez.

Uno de los textos detectados en el cuerpo del virus dice (en
inglés), algo como "intentaré lo mejor de mi parte para
proteger al usuario de maliciosos virus como Funlove, Sircam,
Nimda, CodeRed e incluso W32.Klez 1.X". Lo que demuestra el
retorcido sentido del humor del autor del virus, si tenemos
en cuenta las rutinas destructivas del propio Klez.E.

Aunque no hay informes comprobados, el autor del Klez podría
ser un programador asiático, aunque la referencia en su
código ("made in Asia"), no debe ser tomado como prueba
concluyente. Sin embargo, en los ambientes relacionados, poco
se ha dicho del verdadero autor, quizás temiendo las
represalias que en otros casos se han dado.

Lo cierto de todo esto, es que el Klez no solo detiene la
acción de algunos virus, sino también la de conocidos
antivirus, volviendo aún más irónico y malicioso, la proclama
antiviral que mencionábamos.

Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV),
InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados
cuando el virus toma el control. Esto deja a los usuarios que
ignoran estar infectados, totalmente indefensos ante el
ataque de cualquier otro virus.

* Cómo protegernos

La única protección efectiva para este gusano, es actualizar
el Internet Explorer con el parche al que Microsoft se
refiere en su boletín MS01-020 (o MS01-027) (ver Referencias
al pie de este artículo).

El gusano llega en un mensaje con formato, generalmente con
un tamaño de 100 y pocos Kb, con texto y asunto seleccionados
al azar, y un adjunto (no visible con el clásico clip),
también variable. El remitente puede ser un usuario
infectado, o puede figurar cualquier dirección conocida,
usurpada por el virus, sin que el remitente esté infectado.

Valiéndose de una vulnerabilidad en las extensiones MIME, el
Internet Explorer (quien ejecuta por defecto todos los
mensajes con formatos HTML del Outlook, aunque esto pase
desapercibido, debido a que no se abre una pantalla del IE),
abre y ejecuta el archivo binario adjunto al correo, pensando
se trata de uno de música por ejemplo. MIME (Multipurpose
Internet Mail Extension) es un sistema que permite integrar
dentro de un mensaje de correo electrónico archivos de
imágenes, sonido, programas ejecutables, etc., específicos
para determinadas aplicaciones o archivos multimedia. El
error consiste en hacer pensar al IE que se trata de un
sonido o una imagen y abrirlo sin comprobar. En ese caso, el
archivo con el gusano (un EXE), se ejecuta sin advertencia
alguna.

Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin
los parches mencionados.

También puede afectar a usuarios con otros navegadores,
aunque en ese caso al abrir el adjunto con un doble clic.

El gusano opera independientemente del cliente del correo,
usando sus propias rutinas de SMTP para extenderse, de modo
que también son afectados los usuarios que no usen Outlook u
Outlook Express (aunque se requiere abrir el adjunto).

* Herramienta para limpiar el Klez.E

CLARV es una utilidad creada por Kaspersky Labs para eliminar
la infección del Klez (y otros virus, como se explica en el
enlace a nuestro sitio).

Siga estos pasos para utilizar CLRAV (*):

1. Descargue CLRAV de nuestro sitio al escritorio de Windows
(por ejemplo):

CLRAV.COM (64 Kb) http://www.videosoft.net.uy/clrav.com

2. Haga doble clic sobre el archivo descargado (CLRAV) y siga
las instrucciones.

3. Ejecute uno o dos antivirus actualizados

4. Reinicie su PC

5. Vuelva a ejecutar un antivirus actualizado escaneando
todos sus discos

Nota: Si su PC está conectado a una red, desconecte cada PC
de la red, y repita este proceso EN CADA PC.

(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All
rights reserved.

Referencias:

VSantivirus No. 476 - 27/oct/01
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

VSantivirus No. 483 - 3/nov/01
W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

VSantivirus No. 484 - 4/nov/01
W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

VSantivirus No. 490 - 10/nov/01
W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

VSantivirus No. 559 - 18/ene/02
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm

VSantivirus No. 324 - 28/may/01
Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

VSantivirus No. 602 - 1/mar/02
Los virus más reportados en VSAntivirus (febrero 2002)
http://www.vsantivirus.com/virus-report-feb-02.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Máquina virtual Java de Microsoft permite el secuestro
_____________________________________________________________

http://www.vsantivirus.com/ms-dl-vm40.htm

Máquina virtual Java de Microsoft permite el secuestro
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Una falla en la máquina virtual Java de Microsoft, podría
permitir a un cracker, literalmente secuestrar un browser y
reenviar el tráfico, capturando datos sensibles como las
contraseñas del usuario, según ha revelado Microsoft.

La compañía anunció el lunes en su sitio la falla, así como
el parche para intentar minimizarla.

La máquina virtual Java convierte los programas escritos en
lenguaje Java (no confundir con JavaScript), en código
entendible por la computadora. Esto permite que programas
escritos en Java, puedan ser ejecutados en diversas
plataformas (Mac OS de Apple, Windows, etc.), sin necesidad
de rescribir el código. Cada plataforma posee su intérprete.

Aprovechándose de la falla ahora descubierta, un atacante
atraería a su víctima a un sitio, donde un applet de Java
maliciosamente modificado, estaría ejecutándose.

Para que la vulnerabilidad actúe, la víctima tendría que
tener su Internet Explorer configurado para acceder a los
recursos de Internet vía un servidor proxy. La falla permite
al cracker ver la información cuando esta pasa por el proxy.

Quienes no tengan configurado el Internet Explorer para usar
un servidor proxy, no corren riesgo alguno, según Microsoft.

Para ver si su navegador está configurado así (poco probable
en un usuario hogareño), vaya a Herramientas, Opciones de
Internet, Conexiones, Configuración, y desmarque en Servidor
proxy, la casilla "Usar servidor proxy". Repita esto con cada
una de las conexiones de acceso telefónico, si corresponde.

Para descargar el parche y obtener más información:
http://www.microsoft.com/java/vm/dl_vm40.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Fully. Un infector de archivos con errores
_____________________________________________________________

http://www.vsantivirus.com/fully.htm

Nombre: W32/Fully
Tipo: Virus infector de archivos
Alias: W32.Fully.3424
Fecha: 27/feb/02
Fuente: VirusAttack!

Posiblemente escrito en lenguaje assembler este virus infecta
algunos ejecutables del sistema. El mismo cuenta con varios
errores y es incapaz de propagarse.

Dentro del virus existe una gran cantidad de cadenas
encriptadas. Este encriptación parece ser un intento por
ocultar el código.

Cuando ese virus es ejecutado, busca la librería Kernel32.dll
en memoria. Una vez que el mismo es encontrado el virus lo
analiza en busca de ciertas funciones que necesitará usar. La
búsqueda de las funciones en dicho archivo son de la
siguiente manera:

a. Busca la lista de nombre de funciones que el Kernel32.dll
exporta.

b. Encripta los nombres.

c. Compara las cadenas encriptadas con las cadenas que
actualmente se encuentran dentro del virus.

En el caso que una cadena coincida, almacena en una tabla la
dirección de esta función para usarla luego.

Una vez que el virus tiene la dirección de la función que
necesita, busca archivos ejecutables en el disco duro. La
búsqueda empieza con archivos con extensiones exe en el disco
C:. El virus intenta infectar solo los dos primeros archivos
que encuentre. La rutina de infección cuenta con varios
errores y tampoco el virus puede propagarse.

Los pasos para la infección son los siguientes:

1. Intenta abrir el primer archivo que ha encontrado.

2. Chequeando la firma PE dentro del archivo, chequea que
realmente sea un archivo ejecutable.

3. Verifica que el archivo pueda ser infectado mirando en
algunos campos de la cabecera PE.

4. En el caso de que el archivo pueda ser infectado, copia el
código del virus al final del archivo y modifica varios
campos en la cabecera agregando el punto de entrada. La
modificación del punto de entrada en la cabecera hará que el
virus sea ejecutado antes que el archivo huésped.

Luego de infectar esos dos archivos, el virus muestra el
siguiente mensaje:

You will delete anything?
This feature are not avaible !
(nombre del autor del virus)

Finalmente, luego de que muestra el mensaje, se coloca en una
ubicación aleatoria en memoria. Esto parece ser un intento
para ejecutar el archivo huésped. Sin embargo, debido a otro
error en el código del virus normalmente esto causa que
Windows no responda.

* Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos
antivirus actualizados, y seleccione reparar los archivos que
aparezcan infectados con el W32/Fully.

* Notas

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________