VSantivirus No. 664 - Año 6 - Jueves 2 de mayo de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - El 6 de mayo el Klez puede borrar todos sus archivos
2 - Un consejo para los que están cansados de recibir el Klez
3 - W32/Tendoolf. Variante del SubSeven que se autoenvía
_____________________________________________________________

1 - El 6 de mayo el Klez puede borrar todos sus archivos
_____________________________________________________________

http://www.vsantivirus.com/02-05-02.htm

El 6 de mayo el Klez puede borrar todos sus archivos
Por Jose Luis Lopez
videosoft@videosoft.net.uy

El próximo 6 de mayo, podría activarse una de las rutinas
destructivas del Klez.E, una de las variantes más reciente de
este virus.

Sin embargo, contrariamente a los que algunos medios han
mencionado, la versión del Klez que más se ha propagado en el
último mes (la identificada como Klez.H, que algunos
antivirus identifican como G, I o J, pero básicamente es la
misma en todos los casos), no posee una rutina destructiva
como las anteriores.

Si nos guiamos por la incidencia de los virus más reportados
por las diferentes casas de antivirus, o de sitios
especializados como VSAntivirus, podemos ver la clara ventaja
de esta variante (Klez.H) respecto a las anteriores
(englobadas en Klez.E). En el caso de nuestras estadísticas,
794 reportes del Klez.H contra 166 del Klez.E durante el mes
de abril (teniendo en cuenta además, que el Klez.H surgió
casi a mediados del mes).

Aunque esto podría parecer un respiro de alivio respecto a
las consecuencias del próximo 6 de mayo, sin embargo de
ningún modo es algo que debería dejar de preocuparnos, sino
todo lo contrario, porque la cantidad de virus latentes bajo
la versión Klez.E sigue siendo muy importante de todos modos.

Recordemos que valiéndose de conocidas vulnerabilidades del
Internet Explorer, el gusano puede infectarnos con solo
visualizar el mensaje en el panel de vista previa, o al
intentar leerlo. No es necesario abrir ningún adjunto.

* Una rutina destructiva

Aunque hablamos del Klez, en realidad las rutinas
destructivas las ejecuta un segundo virus que es liberado por
el Klez en una máquina infectada, el W32/Elkern. Para
simplificar, seguiremos mencionando al Klez como el
“culpable” de estas acciones.

Este virus posee una complicada rutina maliciosa, que realiza
un chequeo constante de la fecha del sistema.

Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual
a 6 (como el 6 de mayo), el gusano puede borrar todos los
archivos con extensión TXT, HTM, HTML, WAB, DOC, XLS, JPG,
CPP, C, PAS, MPG, MPEG, BAK, y MP3, sobreescribiendo los
mismos con datos al azar, haciendo imposible su recuperación.

Dentro de estas fechas, el 6 de enero y el 6 de julio, la
rutina destructiva es aún más severa, ya que borra todos los
archivos de todas las unidades de disco locales y en red.

Pero aun sin el borrado total de archivos del 6 de enero y 6
de julio, la rutina destructiva de los demás días seis de
meses impares, es muy severa.

Archivos muy usados como documentos de Word (.DOC), Excel
(.XLS), música (.MP3, .WAB, etc.), páginas Web (.HTM) y
textos (.TXT) entre otros, pueden desaparecer totalmente de
su disco duro, y de las unidades de red compartidas (ya pasó
en marzo).

Esto es muy crítico en redes corporativas o pequeñas
empresas. Una sola computadora infectada, conectada en red a
otras, puede acabar con el trabajo de cientos de horas.

* Otras fechas

Otras versiones del Klez anteriores a la E, ejecutan su
rutina destructiva, borrando todos los archivos del duro con
datos al azar, los días 13 de cada mes, o específicamente el
13 de marzo y el 13 de setiembre.

En todos los casos, los archivos son irrecuperables, debido a
que son sobrescritos por ceros o basura, sin ninguna
referencia a la información anterior que permita su
recuperación o reparación.

* Otras características del Klez

Cuando Klez infecta una máquina, una de sus características
es detener los procesos activos de otros virus, como el
Nimda, el Sircam, el Funlove, el CodeRed, y probablemente
también las variantes anteriores del Klez.

Pero no solo detiene la acción de algunos virus, sino también
la de conocidos antivirus.

Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV),
InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados
cuando el virus toma el control. Esto deja a los usuarios que
ignoran estar infectados, totalmente indefensos ante el
ataque de cualquier otro virus.

* Cómo protegernos

La única protección efectiva para este gusano, es actualizar
el Internet Explorer con el parche al que Microsoft se
refiere en su boletín MS01-020 (o MS01-027) (ver referencias
al pie de este artículo).

El gusano llega en un mensaje con formato, generalmente con
un tamaño de 100 y pocos Kb, con texto y asunto seleccionados
al azar, y un adjunto (no visible con el clásico clip),
también variable. El remitente puede ser un usuario
infectado, o puede figurar cualquier dirección conocida,
usurpada por el virus, sin que el remitente esté infectado.

Valiéndose de una vulnerabilidad en las extensiones MIME, el
Internet Explorer (quien ejecuta por defecto todos los
mensajes con formatos HTML del Outlook, aunque esto pase
desapercibido, debido a que no se abre una pantalla del IE),
abre y ejecuta el archivo binario adjunto al correo, pensando
se trata de uno de música por ejemplo. MIME (Multipurpose
Internet Mail Extension) es un sistema que permite integrar
dentro de un mensaje de correo electrónico archivos de
imágenes, sonido, programas ejecutables, etc., específicos
para determinadas aplicaciones o archivos multimedia. El
error consiste en hacer pensar al IE que se trata de un
sonido o una imagen y abrirlo sin comprobar. En ese caso, el
archivo con el gusano (un EXE), se ejecuta sin advertencia
alguna.

Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin
los parches mencionados.

También puede afectar a usuarios con otros navegadores,
aunque en ese caso al abrir el adjunto con un doble clic.

El gusano opera independientemente del cliente del correo,
usando sus propias rutinas de SMTP para extenderse, de modo
que también son afectados los usuarios que no usen Outlook u
Outlook Express (aunque se requiere abrir el adjunto).

* Cómo limpiar un sistema infectado

Tanto para limpiar un sistema infectado, como para
asegurarnos de que el virus no esté en nuestro sistema, siga
las instrucciones del siguiente artículo:

VSantivirus No. 654 - 22/abr/02
Guía rápida para limpiar un sistema infectado con el Klez
http://www.vsantivirus.com/faq-klez.htm

Relacionados:

VSantivirus No. 664 - 2/may/02
Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

VSantivirus No. 663 - 1/may/02
Los virus más reportados en VSAntivirus (abril 2002)
http://www.vsantivirus.com/virus-report-abr-02.htm

VSantivirus No. 654 - 22/abr/02
Guía rápida para limpiar un sistema infectado con el Klez
http://www.vsantivirus.com/faq-klez.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

VSantivirus No. 626 - 25/mar/02
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

VSantivirus No. 559 - 18/ene/02
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

VSantivirus No. 490 - 10/nov/01
W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

VSantivirus No. 484 - 4/nov/01
W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

VSantivirus No. 483 - 3/nov/01
W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

VSantivirus No. 476 - 27/oct/01
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

VSantivirus No. 324 - 28/may/01
Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Un consejo para los que están cansados de recibir el Klez
_____________________________________________________________

http://www.vsantivirus.com/faq-reglas-klez.htm

Un consejo para los que están cansados de recibir el Klez
Por Jose Luis Lopez
videosoft@videosoft.net.uy

Una de las características más molestas de este virus, es la
cantidad de mensajes que podemos llegar a recibir en nuestras
casillas.

Si tenemos en cuenta que cada mensaje infectado posee unos
ciento y pico de Kb, 10 mensajes infectados que recibamos por
día, hacen un total de 1 Mb. Y 10 mensajes suele ser poca
cantidad en muchos casos, porque si su dirección electrónica
es muy conocida, esta cifra puede por lo menos duplicarse.

Pocas personas tienen casillas que soporten más de 2 Mb (son
las menos), y eso significa que si no baja correo todos los
días (a veces más de una vez por día), su casilla se
bloqueará y perderá información que realmente estaba
esperando.

Y por supuesto, si utiliza una conexión telefónica, y las
tarifas de su país no son económicas, también terminará
perdiendo dinero. En estas condiciones, conectarse a Internet
para bajar correo, puede llevarle de 10 a 15 minutos, en
lugar de los pocos (muchas veces menos de un minuto), que
esperaba. Y todavía después se puede encontrar con la
sorpresa de que la mayoría de los mensajes en realidad son el
virus.

Una posibilidad para evitar esta situación (y de paso
olvidarse del correo molesto de más de 100Kb que pueda
recibir), es implementar una regla (este ejemplo es para el
Outlook Express, pero podría ser usada en otros programas que
admitan reglas, aunque no se explica en este artículo).

Aún si usted recibe algunos mensajes mayores a esa cantidad
(100 Kb) que no desea bloquear, puede manejar las reglas para
eliminar todos los demás mensajes que superen esa cantidad.
¡Y no solo olvidarse del Klez, sino ahorrar dinero al hacer
una transferencia de correo más rápida!. De todos modos,
deberá conectarse seguido a Internet, porque esta técnica no
evita que su casilla se llene.

Estos son los pasos para crear sus reglas

1. Si usted recibe mensajes mayores de 100 Kb que no desea
bloquear, cree una regla de correo para cada remitente en
esas condiciones. Por ejemplo, para seguir recibiendo nuestra
lista VSAyuda en formato DIGEST (que suele ocupar más de 100
Kb), proceda así:

1.a. En el Outlook Express, seleccione Herramientas, Reglas
de mensajes, Correo.

1.b. Pinche en el botón "Nueva".

1.c. En "1. Seleccione las condiciones para la regla:",
marque las casillas: "La línea De contiene personas", y "La
línea Asunto contiene las palabras especificadas"

1.d. En "2. Seleccione las acciones para la regla:" marque
las casillas "Moverlo a la carpeta especificada", y más
abajo, "Detener el proceso de reglas".

1.e. En "3. Descripción de la regla...", aparecerá esto:

Aplicar esta regla después de la llegada del mensaje
La línea De [contiene personas]
[y] La línea Asunto [contiene las palabras especificadas]
Moverlo a la carpeta [especificada]
y Detener el proceso de reglas

1.f. Pinche en [contiene personas] y escriba la dirección
desde donde recibe los mensajes que desea descargar a pesar
de superar los 100 Kb en ocasiones. Por ejemplo, para VSAyuda
DIGEST sería: "vsayuda-owner @nativo.com" (o solo
"@nativo.com" para todos los mensajes que reciba de ese
dominio)

1.g. Pinche en [contiene las palabras especificadas] y
escriba "[VSayuda - DIGEST]".

1.h. Pinche en "carpeta [especificada]" y seleccione o cree
una nueva carpeta (por ejemplo "VSAyuda Digest".

En 3. debería ver algo así:

Aplicar esta regla después de la llegada del mensaje
La línea De [contiene "@nativo.com"]
[y] La línea Asunto [contiene "VSAyuda Digest"]
Moverlo a la carpeta [VSAyuda Digest]
y Detener el proceso de reglas

1.i. En "4. Nombre de la regla:", escriba algo que la
identifique, por ejemplo: "Regla para VSAyuda Digest"

1.j. Pinche en Aceptar. Si es la única regla, déjela así. Si
hay otras, súbala al principio de la lista con el botón
"Subir"

Proceda del mismo modo para cualquier otra regla que quiera
que no respete el límite de los 100 Kb.

2. Para crear una regla que elimine todo archivo mayor de 100
Kb (incluido el Klez, que es lo que nos importa), proceda
así:

2.a. En el Outlook Express, seleccione Herramientas, Reglas
de mensajes, Correo.

2.b. Pinche en el botón "Nueva".

2.c. En "1. Seleccione las condiciones para la regla:",
marque la casilla: "El tamaño del mensaje es superior a
tamaño"

2.d. En "2. Seleccione las acciones para la regla:" marque
"Eliminarlo del servidor" (suele ser la última casilla, no la
confunda con la casilla "Eliminarlo" que no es la que debemos
marcar).

2.e. En "3. Descripción de la regla...", aparecerá esto:

Aplicar esta regla después de la llegada del mensaje
El tamaño del mensaje es superior a [tamaño]
Eliminarlo del servidor

2.f. Pinche en [tamaño] y establezca el tamaño de los
mensajes. Sugerimos 100 KB.

En 3. debería ver algo así:

Aplicar esta regla después de la llegada del mensaje
El tamaño del mensaje es superior a [100 KB]
Eliminarlo del servidor

2.i. En "4. Nombre de la regla:", escriba algo que la
identifique, por ejemplo: "Borrar mensajes grandes"

2.j. Pinche en Aceptar. Si es la única regla, déjela así. Si
hay otras, súbala hasta que quede en segundo o tercer lugar,
luego de las reglas que creó en el punto 1 (por ejemplo,
luego de la regla para VSAyuda Digest).

Finalmente, pinche en Aceptar y salga del menú de reglas.

Si siguió los pasos descriptos, ahora, cada vez que se
conecte para bajar mensajes, solo llegarán a su buzón los
mensajes menores de 100 Kb, y aquellos mayores que
pertenezcan a VSAyuda Digest. Por supuesto, con el mismo
procedimiento descripto, puede crear otras reglas para
aquellos mensajes que puedan ser más grandes de 100 Kb.

Por último, reiteramos que este truco para impedir la
descarga del Klez, funciona perfectamente, pero tiene la
contra que bloquea todo mensaje superior a los 100 Kb (a
excepción de los filtrados por las reglas que pongamos al
principio de la lista).

Aunque de todos modos, también es una manera práctica de
deshacernos de esos mensajes enormes, con chistes y
animaciones que ese pariente que acaba de comprarse su
computadora, nos envía a nuestra casilla... porque, ¿no es
eso lo que hacen todos aquellos que descubren las
"maravillas" del correo electrónico?...;)

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Tendoolf. Variante del SubSeven que se autoenvía
_____________________________________________________________

http://www.vsantivirus.com/tendoolf.htm

Nombre: W32/Tendoolf
Tipo: Caballo de Troya de Acceso Remoto
Alias: W32.Tendoolf, Backdoor.SubSeven
Fecha: 1/may/02
Tamaño: 228,352 bytes o 608,768 bytes
Plataformas: Todos los Windows

Este troyano es una variante del Backdoor.Subseven, un
conocido caballo de Troya con caracteristicas de acceso
remoto "por la puerta trasera" (backdoor), pero posee como
diferencia, el poder propagarse por si solo (gusano) a través
del correo electrónico.

El mensaje infectado que podemos recibir (o enviar si estamos
infectados) tiene estas características:

Asunto: Thoughts...

Texto:
I just found this program, and, i dont know why...
but it reminded me of you. check it out.

Datos adjuntos: Cute.exe

Cuando se ejecuta, el gusano intenta enviarse vía correo
electrónico a todos los contactos de la libreta de
direcciones del Outlook.

Primero, se copia a si mismo en esta ubicación:

C:\Windows\Kernel32.exe

¡CUIDADO!: Existe un archivo Kernel32.exe legítimo de
Windows, pero está ubicado en C:\Windows\SYSTEM\Kernel32.exe.

Luego, el gusano se agrega al registro de Windows para poder
ejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\WINDOWS\KERNEL32.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows = C:\WINDOWS\KERNEL32.EXE

Modifica en el archivo SYSTEM.INI (en C:\Windows), la línea
"shell=Explorer.exe" por la siguiente:

shell=explorer.exe C:\WINDOWS\KERNEL32.EXE

También modifica en el archivo WIN.INI (en C:\Windows), la
línea "load=" por la siguiente:

load=C:\WINDOWS\KERNEL32.EXE

Algunos reportes (Symantec por ejemplo), informan que la
rutina de envío a través del correo electrónico puede fallar.

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados por el virus
(C:\Windows\Kernel32.exe)

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la
derecha busque y borre la siguiente entrada:

"Windows" "C:\WINDOWS\KERNEL32.EXE"

7. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

"Windows" "C:\WINDOWS\KERNEL32.EXE"

9. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

10. Si existe alguna referencia a los archivos del gusano en
la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
load=C:\WINDOWS\KERNEL32.EXE

Debe quedar como:

[Windows]
load=

11. Grabe los cambios y salga del bloc de notas.

12. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

13. Busque lo siguiente:

[boot]
shell=Explorer.exe C:\WINDOWS\KERNEL32.EXE

y si existe, déjelo así:

[boot]
shell=Explorer.exe

14. Grabe los cambios y salga del bloc de notas

15. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

16. Vaya a la papelera de reciclaje en el escritorio, pinche
con el botón derecho sobre ella y seleccione "Vaciar la
papelera de reciclaje".

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Referencias:

VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
http://www.vsantivirus.com/sub722.htm

VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________