NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

DOCUMENTO DE INTERES TANTO PARA DESCONOCEDORES DE LA EXISTENCIA DE VIRUS KLEZ

COMO PARA USUARIOS QUE YA LO HAN SUFRIDO EN ALGUNA DE LAS VARIANTES E-F-G-H.

 

Aunque la mayoría de nuestros asociados ya han recibido noticias del W32/KLEZ bien a través de nuestros comunicados, o de informarse a través de nuestra web, o por haber sido infectados y habernos solicitado asistencia a través de las 10 líneas telefónicas de nuestro Hot-Line, o a través de e-mail, cada día hay nuevos usuarios afectados que desconocían la necesidad de aplicar los parches de Microsoft para evitar ser infectados a través de los agujeros de seguridad del Internet Explorer, accedido a través de cualquier cliente de correo que lo utilice para interpretar el código HTML de los mails que se abren desde el Outlook Express, hasta con el Eudora, quienes, si se tiene la vista previa activa, con sólo situar el cursor del mouse sobre el título del documento, ya previsualizan el mismo, con lo que utilizan el Internet Explorer, el cual tanto con las viejas versiones 5 como con la actual 6, adolece de que si encuentra una etiqueta MIME (Multipurpose Internet Mail Extended), ejecuta con privilegio máximo el fichero anexado al mail, entendiendo que es de audio y que con ello se ambientará musicalmente mientras se lee el mail, pero sí el fichero anexado contiene un virus, el tipo de correo no MAPI (encriptado mail con adjunto), hace que su lectura ya cause la ejecución del virus salvo que, gracias a la instalación de los parches de Microsoft a tal efecto, pueda ser interceptada por el antivirus y evitar la infección.

La instalación de los últimos parches acumulativos es básica para que todos los antivirus puedan detener la ejecución automática del fichero infectado por el Internet Explorer, aunque en determinados clientes de correo tipo MAPI, al venir el mail en paquete separado del adjunto, (juntos pero no revueltos), puede ser detenido gracias a activar la exploración del correo electrónico en el VSHIELD residente, pero en cualquier caso recomendamos donde haya el Internet Explorer, la instalación de los parches correspondientes.

Si quien nos lee no sabe si tiene o no los parches aplicados, ejecute el Internet Explorer y pulse en la casilla AYUDA de la parte superior, y en la ventana desplegada, pulse en ACERCA DE INTERNET EXPLORER. Con ello verá la versión instalada y en la línea de ACTUALIZAR VERSION, le indicará el parche (si lo tiene) instalado, o por el contrario la indicación 0.

Las versiones de I.E. que pueden admitir los parches en cuestión son la 5.01, 5.5 y 6.0, debiendo si indica ser una antigua 4.0 o una 5.00, actualizarse a una superior que admita parches, a ser posible la 6, cabiendo indicar

que para Windows 95 no es compatible la última, por lo que o bien se actualiza a Windows 98 y se pone la 6, y luego los parches, o se limita como máximo a la 5.5 SP2, y por último siempre los parches correspondientes.

Una vez sabiendo como evitar la entrada de este virus, se debe aplicar lo indicado sobre parches a TODOS LOS ORDENADORES, pues con uno solo que no los tuviera sería suficiente para que entrara por éste y se propagara por toda la red, a través de recursos compartidos, a pesar que los demás tuvieran los parches y el antivirus al día. Al respecto del antivirus, también es necesario que esté instalado en todos y cada uno de los ordenadores y actualizado, pues los virus nuevos de cada día no los conocen los antivirus de ayer.

Una vez presentada esta familia de virus que explotan la vulnerabilidad MIME del Internet Explorer, por lo que también es identificada como EXPLOIT MIME, debemos recomendar a los que les viene de nuevo, que se documenten sobre el mismo leyendo los documentos que cada mes hemos editado y están disponibles

en nuestra web www.satinfo.es, pudiendo acceder a ellos desde la página principal, pulsando en "Otras descripciones de virus recientes", y dentro de ella en el año 2002, pudiendo ver en cada mes una noticia sobre el KLEZ, de las que ofrecemos link a continuación para facilitar su acceso:

virus KLEZ (de Enero 2002)

Mas sobre el KLEZ (de Febrero)

Payload del KLEZ (de Marzo)

Como eliminar el virus KLEZ (de Abril, actualizado en Junio)

Últimos parches acumulativos para MS Internet Explorer (de Mayo)

Todos ellos complementados por éste, redactado a finales de Junio 2002, cuando ya podemos decir que lo sabemos casi todo sobre el KLEZ, por ello hemos realizado múltiples herramientas y podemos recomendar el mejor proceso para su eliminación, restauración de claves y de ficheros de inicio infectados, y hoy incluso una herramienta única de restauración de ficheros encriptados por la infección del KLEZ.H, y que sin ella los demás antivirus eliminan los que están infectados por el KLEZ H (infección tipo virus de compañía), y que con la nueva utilidad REKLEZ.EXE se recuperan aunque los antivirus hayan borrado los ficheros infectados.

Al respecto de la eliminación y limpieza del KLEZ, recomendamos la lectura del nuevo (ACTUALIZADO EL 23 DE JUNIO) fichero al respecto, en la segunda línea de la página principal de nuestra web, debajo de la línea sobre parches, en la que encontrarán explicaciones sobre nuevas utilidades, y también tanto mayor como mejor facilidad y seguridad, con sólo tener que bajar el nuevo fichero ANTIKLEZ.EXE y si se ha borrado el antivirus, el SDAT42xx.EXE, y proceder según indicaciones que se generan en LEERME.EXE tras la ejecución del ANTIKLEZ. EXE

El nuevo ANTIKLEZ.EXE es un autoextraible que genera las siguientes utilidades:

ELIKLEZ.EXE (versión 1.2) con restauración claves, eliminación gusano y añadido de extensión SAT a los ficheros de carpeta Menú inicio para poder ser limpiados con el LIMPIA tras reiniciar el ordenador

LIMPIA.EXE con carga de SMARTDRV.EXE para mayor rapidez en W9x y Milenium También con la opción (.) para poder utilizar el SCANPM y los DATS del mismo directorio, tras expandir el fichero SuperDat.

LIMPIANT para ordenadores NT, 2000 y XP en los que se quiera utilizar el antivirus existente, desde su trayectoria instalada por defecto.

RENSAT.EXE para devolver a los ficheros de Menú inicio la extensión original, tras ser limpiados de virus (indispensable en Windows 2000 y NT)

LEERME.EXE documento explicativo del proceso a seguir para la eliminación del KLEZ en ordenadores infectados, extracto del existente en nuestra web.

Todo lo cual complementamos ahora con la nueva utilidad REKLEZ.EXE, que puede ser utilizada por cualquier usuario que haya tenido (y eliminado) el virus KLEZ, con posibilidad de restaurar la normalidad a los ficheros de compañía de los ficheros infectados por el KLEZ, que aunque estos últimos habrán sido borrados por el antivirus, con el REKLEZ.EXE podrán restaurarse los originales partiendo de dichos encriptados de compañía, pudiendo volver a ser ejecutados normalmente. (Crea resultado de restaurados en C:\INFOSAT.TXT)

REKLEZ.EXE para restaurar la normalidad a los ficheros de compañía de los

ficheros infectados por KLEZ, tras haber sido estos últimos

borrados por el antivirus.

Con todo ello se logra eliminar totalmente el virus, restaurar lo que hasta ahora se consideraba irremisiblemente perdido, recordando que se debe instalar o comprobar que se tengan instalados los últimos parches y sólo queda comentar que el virus habrá creado ficheros con extensión .RAR (empaquetador ruso como el PKZIP/WINZIP) que en el informe del proceso LIMPIA (REPORTE.TXT) podrá ser visualizado. Si no se usa dicho empaquetador, estos ficheros pueden buscarse con INICIO/BUSCAR *.RAR y eliminarlos. Si por el contrario se usa dicho RAR, deberán borrarse selectivamente los indicados en REPORTE.TXT conteniendo KLEZ y borrar sólo estos, para no perder los RAR sin KLEZ. De todas formas estos ficheros RAR no son peligrosos, pues aunque se dispusiese del UNRAR y se intentaran desempaquetar, el VSHIELD detendría el proceso al detectar intento de creación de ficheros infectados con el KLEZ. Pero mejor eliminarlos.

Finalmente recordar que los sistemas operativos "server" tienen prestaciones superiores a sus homónimos para estaciones de trabajo, con lo que el NETSHIELD puede impedir el entrada de ficheros infectados vía recursos compartidos, y así evitar la infección del servidor, mientras que las estaciones de trabajo no posibilitan que el VSHIELD pueda actuar del mismo modo.

Como que algunas fechas de activación de variantes del KLEZ están cercanas a la creación de este informe, recordamos que las próximas fechas críticas son:

6 de JULIO KLEZ.E sobreescribe todos los ficheros de toda la Red.

2 de AGOSTO CIH 1049 con KLEZ borra el 1er Mb del disco duro y BIOS

6 de SETIEMBRE KLEZ.E sobreescribe ficheros de datos (DOC, XLS, etc)

13 de SETIEMBRE ELKERN.cav.b sobreescribe con ceros manteniendo tamaño.

6 de NOVIEMBRE KLEZ.E sobreescribe ficheros de datos (DOC, XLS, etc)

A título orientativo, cabe señalar que de los 60.900 virus controlados por el VIRUSSCAN de McAfee en la versión vigente en el momento de redactar este informe (DATS 4209), alrededor de un 75 % de las incidencias que recibimos en nuestro HOTLINE son debidas al KLEZ, lo que se ha mantenido en Abril, Mayo y Junio por encima del 70 %, lo que no se había visto ni de lejos con ninguno de los conocidos hasta la fecha, ni con el LOVELETTER, la tristemente famosa carta de amor que en su día marcó un record de infecciones, pero es

que este KLEZ, a pesar de controlarlo desde Enero de este año, y de cortarle el paso día a día con la aplicación de los parches del Internet Explorer, se mantiene en su nivel de infecciones máxima durante los últimos meses, a pesar de que cada día aparecen nuevos virus como el W32/YAHA.g@MM, que por

sus características podrían tomarle el relevo, pero la bola del KLEZ cuesta mucho detenerla.

Y deseando que con todo lo explicado se pueda evitar la entrada y activación de tan propagado virus, les recordamos no bajar la guardia y dedicar la máxima atención a la seguridad informática de sus Pc's, garantizándoles que el tiempo invertido en ello les evitará pérdidas muy superiores tanto de tiempo como de dinero.

Ante cualquier duda o necesidad de aclaración, rogamos nos consulten.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE BARCELONA, 2 de Julio 2002

Anterior