VSantivirus No. 652 - Año 6 - Sábado 20 de abril de 2002

VSantivirus No. 652 - Año 6 - Sábado 20 de abril de 2002

VSantivirus No. 652 - Año 6 - Sábado 20 de abril de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Klez.H hace públicos nuestros secretos más íntimos
2 - Virus en boletín de PER SYSTEMS
3 - W32/Elkern.C (Elkern.D). El “regalo” que deja el Klez.H
_____________________________________________________________

1 - Klez.H hace públicos nuestros secretos más íntimos
_____________________________________________________________

http://www.vsantivirus.com/20-04-02a.htm

Klez.H hace públicos nuestros secretos más íntimos
Por Jose Luis Lopez
videosoft@videosoft.net.uy

Klez.H es posiblemente, la primer gran plaga hablando de
virus de computadoras, que hemos visto en años. En apenas
unas pocas horas desde su descubrimiento, el tráfico de
mensajes en los servidores de casi todo el mundo aumentó a
proporciones alarmantes.

La empresa británica MessageLabs, contabilizaba un total de
casi 41,000 mensajes infectados por este virus, en las
primeras 48 horas. Reportado por primera vez en China, en la
mañana del 15 de abril, actualmente ha sido visto en 131
países, siendo los tres más activos en reportes, Hong Kong
(4321), Gran Bretaña (3900), y Estados Unidos (3524).

En nuestros países, España, Argentina, México, Perú, Brasil y
Uruguay, reportan un alto número de incidencias.

Nuestro propio sistema de monitoreo detectó a la fecha (y a
menos de dos días del primer reporte), un total de 104
incidencias, un récord nunca antes alcanzado por ningún
virus, en tan poco tiempo.

La mayoría de los casos en que hemos participado, tienen como
común denominador tres puntos fundamentales, y por supuesto
preocupantes.

Uno, la infección ocurrió por no tener al día sus antivirus.

Dos, por no haber actualizado el software (Internet Explorer,
Outlook Express), con los parches necesarios para que el
virus no se autoejecute.

Y finalmente, como punto número tres, es culpable de un gran
número de incidencias la clásica curiosidad de abrir adjuntos
no solicitados, aún con los parches que impiden la ejecución
automática del virus (con estos parches, una ventana
solicitando la descarga o ejecución del adjunto es mostrada,
y en estos casos, a pesar de ello, la advertencia igual fue
ignorada).

Una vez ejecutado, el gusano examina la libreta de
direcciones de Windows, la base de datos del ICQ y una gran
cantidad de tipos de archivos locales, para recolectar
direcciones a las cuáles autoenviarse en mensajes por
supuesto infectados.

El gusano contiene su propio servidor SMTP para enviarse. Y
como broche de oro para su retorcido toque de malignidad, es
capaz de seleccionar cualquier dirección como remitente,
haciendo que en algún momento, cualquiera pueda ser culpado
de enviar mensajes infectados, aún sin estarlo él mismo.

Además de todo ello, el Klez.H, al igual que sus
predecesores, libera otro virus, el Elkern.C (o Elkern.D para
algunos antivirus), capaz de deshabilitar el software
antivirus de su computadora.

Y como si todo esto no fuera poco, el Klez.H posee otra
maliciosa costumbre, la de enviar nuestra información
confidencial (guardada en documentos de Office, páginas HTML,
imágenes, etc.) a todo el mundo al que el gusano envía su
mensaje infectado.

El gusano examina los discos locales y mapeados en red de un
sistema infectado, y bajo ciertas condiciones, agrega un
archivo sano a cada mensaje infectado. Este archivo suele ser
cualquier de nuestros documentos, aún los confidenciales,
seleccionados por las siguientes extensiones:

.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas
.mpg .mpeg .bak .mp3 .pdf

El resultado de todo esto, es una peligrosa fuga de
información confidencial, y de acuerdo a la propagación del
gusano, a un nivel mayor que el logrado por el Sircam el
pasado año, dejando al alcance de cualquiera, en cualquier
parte del mundo, nuestros más íntimos secretos.

Por otra parte, según comenta Eugene Kaspersky de Kaspersky
Antivirus, al contrario de lo que ocurría en las versiones
anteriores del Klez, el mismo no destruye los archivos
guardados en los discos de sus víctimas.

Esta posibilidad de enviar estos archivos confidenciales, a
cientos o miles de personas, sin dudas se convierte en un
acto criminal de impredecibles consecuencias, mucho más grave
que el borrado de los mismos.

Imagínese una oficina gubernamental infectada, revelando
información crítica a cualquier persona que quiera leerla
(hay casos de este tipo ocurridos por culpa del Sircam). O
información confidencial de su empresa revelada a la
competencia.

Para disminuir este riesgo, mantenga al día (estrictamente al
día) sus antivirus, instale los parches necesarios para
evitar que gusanos de este tipo se ejecuten sin su
intervención directa, quite el panel de vista previa del
Outlook, y no caiga en la tentación de intentar abrir a pesar
de ello, archivos que usted no solicitó, aún cuando vengan de
conocidos.

Referencias:

VSantivirus No. 650 - Año 6 - Jueves 18 de abril de 2002
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

VSantivirus No. 548 - Año 6 - Lunes 7 de enero de 2002
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

VSantivirus No. 626 - Año 6 - Lunes 25 de marzo de 2002
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Virus en boletín de PER SYSTEMS
_____________________________________________________________

http://www.vsantivirus.com/20-04-02b.htm

Virus en boletín de PER SYSTEMS

(*) Noticia publicada originalmente en
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=186

En el día de hoy (19/04/2002), la empresa peruana envió un
boletín a sus suscriptores en el que les recomendaba el
descargar una actualización para el Internet Explorer, que en
realidad se trataba del virus W32/Gibe.

PER SYSTEMS es una empresa radicada en el Perú, que
desarrolla el PER Antivirus, un buen producto antivirus que
está alcanzando una buena difusión entre los usuarios de
internet de habla hispana, y que además es partner de
Microsoft en diversos emprendimientos en ese país.

Para comunicarse con sus clientes, mantiene una lista de
correo a través del proveedor eListas.net, en la que envía
periódicamente novedades, noticias, ofertas y alertas sobre
virus, y que tiene un alto número de suscriptores en
Latinoamérica y España.

En el día de hoy, la empresa envió una supuesta actualización
de seguridad del Internet Explorer, recomendando a todos sus
usuarios que bajaran el archivo en cuestión, el cual estaba
alojado en uno de los servidores de la empresa para facilitar
su descarga a los usuarios locales.

El mensaje en sí era la traducción al español del que utiliza
el gusano W32/Gibe para reproducirse, originalmente en
inglés, y el archivo que recomendaba bajar, era el propio
virus.

Poco menos de una hora después de que los suscriptores del
boletín recibieran esto, un nuevo envío de PER SYSTEMS
alertaba que el boletín era falso y que no debían descargar
ningún archivo, sin dar más explicaciones al respecto.

Comunicándonos con Jorge Machado, presidente de la compañía,
pudimos averiguar que el problema se dio debido a que una
nueva integrante del área de publicidad de la empresa recibió
el mensaje infectado del virus, lo tradujo y envió sin
consultar al Jefe de Sistemas de la empresa.

No es la primera vez, ni última, en que una empresa antivirus
o un distribuidor tiene este tipo de problemas, pero estos no
dejan de preocupar. En un libro titulado "@Trend" y que habla
sobre la historia de la empresa Trend Micro, Jenny Chang, la
esposa del fundador Steve Chang, cuenta como ante la
aparición del virus Melissa, sus empleados y los de muchas
otras compañías antivirus, enviaron sin saberlo documentos
infectados por este macrovirus a muchos de sus clientes.

"Nadie es perfecto" nos dijo Machado, el fundador de PER
SYSTEMS, y nadie puede discutirlo, pero quienes confiamos en
los productos antivirus necesitamos que quienes los
desarrollan y distribuyan, si lo sean.

Y refiriéndonos puntualmente al gusano cuyo link de descarga
enviaron por error, en caso de estar infectado por el virus
W32/Gibe, ya sea por el boletín de PER SYSTEMS o por alguna
otra razón, cualquier antivirus actual lo detecta y
desinfecta sin problema alguno.

Más información

Virus Attack! - Descripción del W32/Gibe
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=417

PER Systems
http://www.persystems.net

VSantivirus No. 606 - 5/mar/02
W32/Gibe. Falsa actualización de Microsoft (Q216309.EXE)
http://www.vsantivirus.com/gibe.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Elkern.C (Elkern.D). El “regalo” que deja el Klez.H
_____________________________________________________________

http://www.vsantivirus.com/elkern-c.htm

Nombre: W32/Elkern.C
Tipo: Infector de archivos de Windows 98
Alias: W32/Elkern.D, Elkern.c, PE_ELKERN.C, Win32.Klez.c,
W32.Elkern.4926
Tamaño: 4926 bytes
Fecha: 17/abr/02

Este virus es liberado por el Klez.H, la nueva variante del
Klez.

Se trata de un virus polimórfico y parásito, capaz de
infectar ejecutables en formato PE, y que funciona bajo
Windows 98, Me, 2000 y XP.

Es capaz de infectar usando las "cavidades" del archivo
original, no modificando los tamaños de dicho archivo (esta
técnica se denomina "cavity").

W32/Elkern.C (reconocido como Elkern.D por algunos
antivirus), contiene las rutinas encargadas de deshabilitar
el acceso a aquellos antivirus instalados en la máquina
infectada. El cuerpo del virus contiene el siguiente texto en
un formato encriptado (no es visible a simple vista):

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,
Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than
three weeks from having such idea to accomplishing
coding and testing

Las principales diferencias con las versiones anteriores del
virus son la incorporación de un algoritmo inteligente para
evitar infectar archivos autoextraíbles .RAR y .ZIP, que
causan un error cuando se infectan.

Implementa también un nuevo algoritmo de encriptación, para
evitar ser detectado por un antivirus, o para dificultar su
reconocimiento (actualmente lo reconocen todos los antivirus
conocidos, en sus últimas actualizaciones).

Finalmente, esta variante tampoco posee la rutina destructiva
(borrado de archivos) de las anteriores.

El virus libera un archivo con nombre al azar, generalmente
en la carpeta C:\Program Files (aún en la versión en español
de Windows).

Es capaz de infectar archivos locales y aquellos en unidades
de red con carpetas compartidas. También deshabilita la
protección de los archivos, infectando al propio EXPLORER.EXE
en memoria (por ello el procedimiento de limpieza debe
hacerse en Modo a prueba de fallos).

Ver la información para la eliminación de este virus en un
sistema infectado, en la descripción del virus W32/Klez.H
(http://www.vsantivirus.com/klez-h.htm)

Relacionados:

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________