NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Llega en un mail con distintos asuntos en inglés y fichero anexado con nombre variable y extensión SCR, PIF, BAT o EXE

Contiene un payload destructivo que daña los drivers VxD con la consecuente pérdida del arranque del windows

Nombre de virus: W32/Klez.GEN@MM
Alias conocidos: W32/Klez.e

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Por visualización del e-mail o por ejecución del fichero anexado
Propagación: Por envío masivo de mails con anexado, y por recursos compartidos
Detección:
DailyDAT de 18-01-2002 ó posterior, o DATS 4182 ó posterior
Motor necesario: 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de una variante del gusano Klez que aprovechando la vulnerabilidad de Microsoft MS01-020.asp por visualización del e-mail o por ejecución del fichero anexado, infecta el sistema copiándose en el directorio de windows\system con el nombre de WINKxxxx.EXE donde xxxx son letras aleatorias, también genera un fichero WQK.EXE que es el encargado de infectar los PE con el virus W95/Elkern.cav.b

Contiene un PayLoad destructivo que daña los drivers VxD del sistema haciéndo imposible el inicio del sistema.

Igualmente que su antecesor desactiva los antivirus para poder infectar inpunemente los equipos, propagándose por los recursos compartidos o buscando direcciones de correo en la libreta de direcciones para autoenviarse.

Para poder actualizar con los DailyDAT es suficiente con ejecutar el fichero SDATdaily.EXE

http://download.nai.com/products/mcafee-avert/daily_dats/SDATDAILY.EXE

Como ya hemos indicado en anteriores listas, repetimos que es MUY IMPORTANTE aplicar los parches de Microsoft, para Internet Explorer 5.01 y 5.5, disponibles en <http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp>, o bien actualizar a Internet Explorer 6 y aplicarle el parche de seguridad de Microsoft del 13 de Diciembre, <http://www.microsoft.com/windows/ie/downloads/critical/q313675/>, con lo cual este tipo de virus y otros similares,no serían ejecutados por leer simplemente el mail, y sólo podrían entrar por ejecución exprofesa del fichero anexado, en cuyo caso el antivirus actualizado evitaría la infección al impedir la ejecución del fichero infectado.

 

SATINFO, VIRUSCAN SPAIN SERVICE 18 de Enero de 2002

Anterior