VSantivirus No. 654 - Año 6 - Lunes 22 de abril de 2002

VSantivirus No. 654 - Año 6 - Lunes 22 de abril de 2002

VSantivirus No. 654 - Año 6 - Lunes 22 de abril de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

Guía rápida para limpiar un sistema infectado con el Klez.H
_____________________________________________________________

http://www.vsantivirus.com/faq-klez.htm

Guía rápida para limpiar un sistema infectado con el Klez.H
Por Jose Luis Lopez
videosoft@videosoft.net.uy

El Klez.H (junto con el Klez.E), se ha convertido en una de
las plagas más importantes en lo que va del año. Su facilidad
para propagarse (no es necesario abrir un adjunto), la
cantidad diferente de mensajes con diferentes asuntos y
contenidos, y la habilidad de tomar como remitente a
cualquier usuario (esté o no esté infectado), han logrado que
se haya propagado más de lo esperado.

Desde la semana pasada, recibimos diariamente decenas de
consultas sobre este virus (o relacionadas con infecciones
causadas por el virus, que el usuario supone se deban a otra
causa).

Es por ese motivo que hemos desarrollado esta guía rápida,
que pretende ayudar a un usuario medio primero a descubrir si
tiene el virus, segundo a quitarlo de un sistema infectado.
Finalmente se dan algunas pautas para no volver a ser
infectado. Este último punto, útil para todo aquel que aún no
lo ha sido.

* ¿Cómo llega el virus a mi PC?

El Klez.H se propaga por medio del correo electrónico.
Aparece en una gran variedad de mensajes, con diferentes
asuntos, textos, e inclusive adjuntos. La variación de los
mismos, dificulta su identificación a simple vista, y más aún
a un usuario medio. Por ello, la mejor solución es
plantearnos que todo mensaje no solicitado, es potencialmente
peligroso.

* ¿Cómo puedo identificar estos mensajes?

En nuestro artículo 'W32/Klez.H (Klez.I). ¡Cuidado! ¡No
acepte "supuestas" curas!'
http://www.vsantivirus.com/klez-h.htm, se describe esto con
más detalle, pero por lo pronto, es útil saber que el Klez.H
en ocasiones aparece como un mensaje que se auto ejecuta al
verlo (no aparenta tener adjunto, porque este permanece
oculto), y en otras ocasiones llega como un mensaje (que no
se auto ejecuta), conteniendo un adjunto que dice ser una
cura para el propio Klez.

Alguno de los asuntos más comunes:

A funny website
A special powfultool
A IE 6.0 patch
Worm Klez.E immunity

Pero recuerde que no son los únicos, y que todo mensaje no
solicitado es sospechoso.

* ¿Cómo me infecta?

Primero que nada, es muy importante tener los parches
necesarios del Internet Explorer, para evitar que este gusano
infecte nuestro PC por medio de su mecanismo más clásico
(simplemente por ver el mensaje en el panel de vista previa o
al leerlo). No es necesario abrir ningún adjunto para que nos
infecte (aunque hay variantes del virus que si requieren
ejecutar el adjunto).

* ¿Cómo quito el panel de vista previa?

En el Outlook Express, seleccione Ver, Diseño, desmarque
"Mostrar panel de vista previa" (ver imagen
http://www.vsantivirus.com/klez-vista.png)

* ¿Cómo descargo los parches del Internet Explorer?

Los parches necesarios puede conseguirlos desde la
actualización de productos de Microsoft, conectándose a su
sitio:

http://windowsupdate.microsoft.com/

Seleccione "Actualización de productos", y luego lo que
corresponda a su equipo entre las "Actualizaciones críticas"
que sean detectadas, para asegurarse de que el equipo
funciona sin problemas y para protegerlo ante posibles fallas
de seguridad. Un "Paquete de actualizaciones críticas"
aparece siempre que estas sean necesarias para su equipo.
Descargue las que corresponda, o todo el paquete para
actualizar todo su sistema en un solo paso

* ¿Porqué me infecté igual a pesar de los parches?

Suponiendo que se descargaron y actualizaron debidamente los
parches que evitan la ejecución automática de este virus (y
de cualquier otro que use el mismo método), en varias
ocasiones el usuario igual se infecta. En todos estos casos
hemos constatado que el propio usuario tiene la culpa (y que
no hay sistema operativo a prueba de "kamikazes del ratón",
como solemos decir).

La infección sucede porque sencillamente no contestamos con
la opción debida. A pesar de que el método propuesto por el
parche podría ser más elaborado (como veremos), todavía es
difícil de entender porque la mayoría de las personas está
guiada por la tendencia a cambiar las opciones por defecto.

El parche lo único que hace, es advertir al usuario que un
archivo binario ejecutable, va a ser abierto, y nos pregunta
si deseamos abrirlo o guardarlo.

Cómo vemos en esta imagen
[ http://www.vsantivirus.com/klez-descarga.png ], un cuadro
de diálogo nos pregunta si deseamos "Abrir el archivo desde
su ubicación actual", o "Guardar este archivo a disco". Por
defecto está tildada la segunda opción. Por alguna extraña
razón, la mayoría de los usuarios cambian esta opción por la
primera, y pulsan en [ Aceptar ]. ¡Grave error!... Es más, ni
siquiera debemos aceptar la opción de guardar al disco (para
evitar riesgos), y lo que si debemos hacer es pinchar en el
botón [ Cancelar ], y luego borrar el mensaje.

Recuerde, por su bien, que todo mensaje no solicitado que
sugiere archivos adjuntos puede ser potencialmente peligroso.
¡Sólo bórrelo!.

* ¿Porqué el antivirus no me lo detectó?

Un antivirus actualizado y debidamente instalado, debería
interceptar la posible ejecución de este u otro virus, antes
de que el mismo actúe. Sin embargo, muchas personas no tienen
al día los mismos, o no lo tienen correctamente configurado.

El Klez además, tiene la habilidad de borrar la mayoría de
los antivirus activos, salteándose muchas veces esta
protección al estar en memoria. Cómo en todas las ocasiones,
nuestra salud y la de nuestro PC, depende de donde y cuando
hacemos doble clic. Siga las instrucciones dadas en las
respuestas anteriores, para estar más protegido.

Tengamos o no antivirus, muchas veces todo depende de nuestro
impulsivo afán de pinchar con el ratón, en toda opción que se
nos presenta, sin atinar a lo más obvio ante situaciones
inesperadas, el botón Cancelar o CTRL+ALT+SUPR y finalizar la
tarea correspondiente a la aplicación abierta (en este caso,
el mensaje).

Ver imagen http://www.vsantivirus.com/klez-cerrar.png

* ¿Cómo saber si estoy infectado?

La respuesta más obvia, sería ejecutar regularmente un
antivirus para escanear todos nuestros archivos. Sin embargo,
hay síntomas que nos avisan que algo anda mal. Los dos más
comunes son:

1. Al iniciarse Windows, sale un mensaje de error advirtiendo
que un componente de nuestro antivirus no puede cargarse.

2. Todo el sistema se comporta errático, sumamente lento,
incluido el movimiento de nuestro ratón.

* Me llegó un mensaje que dice que yo mandé el virus y que
puedo estar infectado ¿lo estoy?

Una de las características del Klez (en las versiones E y
posteriores), es la de enviarse con cualquier dirección
encontrada en la PC infectada, como remitente. De este modo,
solo basta que un amigo o cualquier persona tenga nuestra
dirección en algún archivo (no necesariamente tiene que ser
un mensaje o estar en la libreta de direcciones), para que
esa persona al infectarse, envíe mensajes que parezcan ser
enviados por nosotros.

De cualquier modo, realice un examen periódico de su sistema
para estar seguro de no estar infectado.

* Bueno, estoy infectado, ¿cómo limpio mi sistema?

Existen numerosos métodos y herramientas para limpiar nuestro
sistema de una infección. Incluso en nuestro artículo sobre
el Klez.H se explica un método manual para limpiar el virus
de un sistema infectado. Sin embargo, el método que a
continuación damos, es una forma práctica y segura de
librarnos de esta plaga. Debido a que está planteado para que
pueda ser usado por un usuario sin experiencia, tal vez
existan acciones redundantes. Pero en este caso, nada de lo
que sobra hace daño, sino todo lo contrario.

Veamos los pasos a seguir (IMPORTANTE: si tiene su computadora
conectada en red con otras, desconéctelas a todas y proceda a
limpiarlas en forma individual como se explica aquí):

1. Proceda a descargar el antivirus F-Prot de nuestro sitio,
y a prepararlo en disquetes, incluido un disquete de inicio
del sistema operativo, como se indica en este artículo:

Cómo ejecutar F-PROT en un disquete
http://www.vsantivirus.com/fprot-disq.htm

2. Descargue también las herramientas descriptas en este
artículo (se da este enlace puesto que pueden surgir
modificaciones, y aquí encontrará siempre las últimas
versiones de estos productos):

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

En concreto, baje las herramientas de Symantec y Trend Micro
(hemos probado varias, y por diferentes razones -limpieza
total del registro, limpieza del virus W32/ElKern liberado
por el Klez, tamaño, etc.- seleccionamos estas dos)

3. Copie ambas a una carpeta fácil de acceder o al escritorio
de Windows.

4. Provisto del disco de inicio y de los dos disquetes del F-
Prot preparados como vimos en el punto 1, proceda a reiniciar
su equipo desde disquete y ejecutar F-Prot como se explica en
http://www.vsantivirus.com/fprot-disq.htm

5. Reinicie su sistema EN MODO A PRUEBA DE FALLOS según se
explica en este enlace:

http://www.vsantivirus.com/faq-modo-fallo.htm

6. Ejecute las utilidades que descargamos en el punto 2, en
el siguiente orden, y sin reiniciar su PC:

a. La de Trend Micro
b. La de Symantec

Ignore los mensajes de advertencia respecto a la ejecución de
archivos en modo MS-DOS, e incluso la de reiniciar el
sistema.

La herramienta de Trend Micro, además, inmunizará nuestro
sistema para evitar nuevas infecciones con el Klez.

7. Luego de ejecutar ambas utilidades, reinicie en modo
normal su computadora.

8. Ya en modo normal, ejecute nuevamente ambas utilidades

9. Reinstale el antivirus que el Klez deshabilitó si fuera
necesario. Generalmente, una reinstalación sobre el anterior
es suficiente.

* Consideraciones finales

Si no lo ha hecho, actualice su sistema para tener los
últimos parches, como se indica en una de las respuestas
anteriores. Es la única forma de que virus como el Klez no
puedan sorprenderlo.

También mantenga actualizado su antivirus. Si desea saber si
éste se encuentra debidamente instalado, siga las
instrucciones de este artículo:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

No abra adjuntos no solicitados.

No conteste afirmativamente a ninguna pregunta sobre la
ejecución de archivos.

Elimine todo mensaje sospechoso que usted no solicitó.

Luego de borrar los mensajes sospechosos, vacíe la carpeta de
Elementos eliminados, y proceda a compactar todas las
carpetas (en el Outlook Express, Archivo, Carpetas, Compactar
todas las carpetas).