NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

--- URGENTE --- VIRUS QUE SE ACTIVA LOS DIAS 13 DE MESES IMPARES, COMO EL 13 DE NOVIEMBRE O EL 13 DE ENERO PROXIMOS, SOBREESCRIBIENDO TODOS LOS FICHEROS, IRRECUPERABLEMENTE.

Llega en un e-mail con fichero anexado de nombre variable, que es ejecutado simplemente por leer el e-mail o por entrar en web infectada. como el NIMDA, el REDESI, y similares, manipulando MIME

Nombre de virus: W32/KLEZ @ mm
Alias conocidos: Klaz, W32\klez
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Los días 13 de meses impares, sobreescribe ficheros del disco duro
Propagación: Envía mails infectados a las direcciones WAB y crea virus ELKERN
Detección: DATS 4168
Motor necesario: 4.0.70
Infección actual: Media (Inicial, Media, Elevada)

Aprovecha el agujero de seguridad que permite, cambiando en la etiqueta de Conten-type de los HTML, el tipo de extensión MIME (Multipurpose Internet Mail Extensions) que enlaza con algún archivo, por ejemplo en la etiqueta MIME indicar que corresponde a un audio/x-wav cuando en realidad es un gusano, el cual será ejecutado al mismo tiempo que se lee el mail o se entre en una página web, como si de un fichero de música se tratara. Esta técnica ya lo utilizan otros virus como el NIMDA y el REDESI, y se supone que la utilizarán muchos mas en el futuro al lograr ejecutar el fichero anexado simplemente por leer el e-mail o entrar en una web.

Cuando se ejecuta el virus, este crea en la carpeta de sistema de windows el fichero KRN132.EXE, el cual es una copia del gusano, y crea una clave en el registro de sistema desde donde lo ejecuta en cada reinicio. Luego envía mails a todas las direcciones de WAB (Windows Adrress Book) con asunto aleatorio y fichero anexado variable, cuya simple lectura (del e-mail) provocará la ejecución del fichero infectado. El virus KLEZ se activa cada día 13 de los meses impares, como el 13 de Noviembre o el 13 de Enero, sobreescribiendo los ficheros del disco duro, irrecuperablemente.

Además, el KLEZ lleva consigo la creación de otro virus, el W95/ELKERN.cav que genera en el directorio de sistema de windows el fichero WQK.EXE modificando otra clave del registro de sistema para que sea ejecutado en cada reinicio de Windows. Este virus infecta todos los PE aleatoriamente, sin cambiar su tamaño al ir ocupando espacios vacios de los ficheros (cavidades). Su payload destructivo de activa los días 13 de marzo y 13 de Septiembre, sobreescribiendo ficheros del disco duro.

Tras eliminar el/los virus con DATS > 4168 es muy importante aplicar los parches de Microsoft al respecto, los mismos que los del NIMDA, indicados en la lista enviada referente al NIMDA

VIRUSCAN SPAIN SERVICE 9-11-2001

 

Anterior