|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
GENERALIZACIONES Y SUGERENCIAS PARA ELIMINACION VIRUS KLEZ /e - /h y consecuentes virus creados por los mismos, ELKERN .cav.b y .c
(Al final, extracto resumido de proceso de limpieza según sistema operativo)
Información original del 29/04/2002 actualizada en 14/06/02
Segunda actualización en 18/06/02, con nuevo ELIKLEZ, RENSAT y ANTIKLEZ
Para tener el conjunto de utilidades con las que eliminar el virus KLEZ,simplemente descargar de nuestra web el fichero ANTIKLEZ.EXE, en una carpeta abierta a tal fin, por ejemplo en C:\KLEZ, y al ejecutar dicho fichero, se expandirá en dicha carpeta creando los ficheros ELIKLEZ.EXE, RENSAT.EXE, LIMPIA.EXE, LIMPIANT.BAT, DESINST.EXE, y este documento de información LEERME.EXE, cuya ejecución visualizará este contenido.
El mismo también puede leerse en nuestra web, www.satinfo.es, pulsando en la línea "Como eliminar virus KLEZ en ordenadores infectados", o accediendo a "Otras descripciones de virus recientes", año 2002, documento KLEZHLP del 29-04-2002. Unicamente cabe indicar que además de lo indicado inicialmente hemos creado el RENSAT.EXE para, en Windows NT/2000/XP, restaurar la extensión original a los ficheros de menú inicio, modificados al haberles añadido la extensión .SAT tras haber ejecutado el ELIKLEZ, para poder, tras reiniciar el ordenador, limpiar todos los ficheros incluidos los de dicha carpeta, que de otro modo estarían en uso por ejecutarse en cada reinicio.
GENERALIZACIONES Y SUGERENCIAS PARA ELIMINACION VIRUS KLEZ /e - /h y CONSECUENTES VIRUS CREADOS POR LOS MISMOS, ELKERN .cav.b y .c
(Al final, extracto resumido de proceso de limpieza según sistema operativo)
RESUMEN VARIANTES APARECIDAS DE ENERO A JUNIO 2002 DE KLEZ Y ELKERN:
Los virus KLEZ /e - h. se detectan desde DAT4182, son controlados por VSHIELD desde 4183 y el ELKERN.b, creado por el KLEZ.e, también, pero el ELKERN.c que crea el KLEZ.H, sólo es controlado desde 4198, o dailydats del 24.4.02, o con extra.dat del 23.4.02.
Este nuevo ELKERN.C no tiene el payload destructivo de los días 13/3 y 13/9 del anterior ELKERN.B, de la misma forma que el KLEZ.h no se activa los días 6 de meses impares, a diferencia del KLEZ.e, que sobreescribe los ficheros de datos (DOC, XLS, etc) dichos días, si bien si el mes es Enero o Julio, los ficheros que sobreescribe son todos los que encuentra.
CONSIDERACIONES SOBRE EL KLEZ Y EL ELKERN:
Al entrar este virus por los agujeros de seguridad de MS Internet Explorer, que es utilizado por el Outlook para interpretar código HTML, y tener previsto el ejecutar con máximo privilegio el fichero anexado, si encuentra la etiqueta MIME (Multipurpose Internet Mail Extended), son necesarios los parches de MS (Microsoft) para Internet Explorer para evitar la entrada del virus por la simple lectura de un e-mail que aproveche el agujero de seguridad indicado, también nombrado EXPLOIT MIME y EXPLOIT IFRAME, nombres genéricos que pueden identificar a dicho virus cuando son detectados a través de un antivirus de servidor, como el NETSHIELD. Los parches al respecto están accesibles desde la página principal de nuestra web www.satinfo.es, debajo del baner de entrada que informa del virus KLEZ, en la línea ULTIMOS PARCHES ACUMULATIVOS PARA MS INTERNET EXPLORER, lo cual es preciso instalar en TODOS LOS ORDENADORES, IGUAL QUE EL ANTIVIRUS.
Si no se tienen los parches y el virus entra en la RED, además del envío de e-mails infectados a través de Internet, se propagará el virus en todos los ordenadores de la red que tengan recursos compartidos, a pesar de que tengan el último antivirus y los últimos parches. Solo el NETSHIELD instalado en el servidor de la Red, podrá utilizar las prestaciones de los sistemas operativos server (NT SERVER o 2000 SERVER), y detener el tráfico de ficheros infectados entre ordenadores con recursos compartidos, además de poderlo evitar sacando la unión de ordenadores entre sí.
ELIMINACION DEL VIRUS KLEZ Y ELKERN EN LOS ORDENADORES INFECTADOS
Si se detecta dicho virus en la RED debe procederse a su eliminación, en función del sistema operativo:
MUY IMPORTANTE:
DESCONECTAR LOS ORDENADORES DE LA RED Y NO INTERCONECTARLOS HASTA HABER ELIMINADO EL VIRUS DE TODA LA RED (NO JUNTAR INFECTADOS CON LIMPIOS)
En todos los sistemas deberá empezarse por ejecutar el ELIKLEZ.EXE. Sugerimos bajar el fichero ANTIKLEZ.EXE en una nueva carpeta C:\KLEZ y expandir los ficheros contenidos en su interior, con su simple ejecución (es autoextraible).
Con Windows 95, 98, XP y Me, se debe arrancar (desde ordenador apagado) en MSDOS, lo cual se consigue con W9x y XP pulsando repetidas veces, al arrancar, la tecla F8 y escogiendo la opción de arrancar en SOLO SIMBOLO DE SISTEMA.
(En XP escoger MODO SEGURO CON SIMBOLO DE SISTEMA). Tras ello ejecutar LIMPIA (o LIMPIANT en los XP), que también estará en C:\KLEZ si se ha procedido como indicado en el párrafo anterior, tras lo que se deberán ir limpiando uno a uno todos los ordenadores, pero no deben volver a conectarse entre sí y a la Red hasta haber sido limpiado todos, pues un equipo infectado nos infectaría los demás a través de los recursos compartidos, aunque tuvieran la última versióndel antivirus y los últimos parches.
En el caso de WINDOWS XP (igual que en NT y 2000, como veremos en su momento) proceder por último a ejecutar RENSAT.EXE para restaurar extensiones a los ficheros de la carpeta menúinicio. (Tras haber ejecutado el LIMPIANT)
Con Windows Me, tras haber ejecutado el ELIKLEZ.EXE, debe arrancarse con un disco de Inicio, y luego ejecutar LIMPIA y seguir los pasos indicados en el apartado anterior.
Con Windows NT y 2000 con formato NTFS, no puede arrancarse desde MSDOS y tener acceso al disco duro lógico, por lo cual deberá eliminarse el virus desde Windows. Para ello, tras haber ejecutado el ELIKLEZ.EXE conforme indicado al principio (para todos los sistemas), debe reiniciarse el equipo y a continuación desactivar el VSHIELD, pinchando con el botón derecho del mouse sobre el icono de VSHIELD de la barra de Inicio, y pulsar sobre SALIR o DESACTIVAR. Luego ejecutaremos el LIMPIANT.BAT, proceso similar al LIMPIA, pero para NT y 2000 (y XP). Por último proceder a ejecutar RENSAT.EXE para restaurar extensiones a los ficheros de la carpeta menúinicio.
Como que aleatoriamente el virus KLEZ borra los ficheros antivirus del disco infectado, si en la red se sospecha que hay el virus KLEZ y no está disponible el antivirus, bien por haber sido borrado por el virus, o porque no estuviera instalado en el equipo, primero deberá eliminarse el virus, para lo que deberá procederse a crear una nueva carpeta C:\KLEZ y bajar en ella dos ficheros, el arriba mencionados ANTIKLEZ.EXE y el SDAT42xx.EXE del momento, ejecutando primero el ANTIKLEZ para extraer los ficheros en él contenidos, y de ellos ejecutar el ELIKLEZ. Acto seguido arrancar y en modo MSDOS, dentro de C:\KLEZ ejecutar SDAT42xx /E, y luego desde la misma carpeta, "LIMPIA ." Nótese la existencia de un punto detrás de LIMPIA y espacio, lo cual le indica al LIMPIA que el SCANPM debe ejecutarse desde el directorio en donde está el LIMPIA.EXE.
Finalmente si el sistema operativo es Windows NT, 2000 o XP, ejecutar RENSAT
Luego, para instalar el antivirus de nuevo en los ordenadores ya limpios de virus, en los que el KLEZ lo haya borrado, debe procederse con el DESINST y tras ello instalar el antivirus desde CDROM, como si fuera un ordenador nuevo.
EN TODOS LOS CASOS Y SISTEMAS:
Por último instalar los últimos parches para MS Internet Explorer o comprobar que estén instalados, mirando en AYUDA/ACERCA DE INTERNET EXPLORER, que en "actualizar versión", figuren los últimos parches (el q321232 es el que debe aparecer en el momento de redactar este informe, o superior en su caso).
Cabe señalar que la existencia de recursos compartidos en la Red, permitirá la propagación de dicho virus a toda la Red, desde un ordenador infectado. Es importante que si se conecta un portátil o un ordenador nuevo o llegado de revisión o ampliación de hardware o software, se compruebe previamente que no esté infectado con algún virus de los que se propagan por recursos compartidos para evitar la propagación de dichos virus por la Red, lo cual solo pueden evitar sistenas operativos SERVER (NT SERVER, W2000 SERVER) y por ello el NETSHIELD (antivirus de McAfee para servidores de red) es necesario para que el tráfico de virus por la red sea detectado, controlado y limpiado. Sin ello el virus infectaría de nuevo todos los ordenadpres con recursos compartidos.
RESUMEN ELIMINACION VIRUS KLEZ:
IMPORTANTE SEGUIR LOS SIGUIENTES PASOS:
1.-BAJAR EN TODOS LOS ORDENADORES LA UTILIDAD ANTIKLEZ.EXE en nueva carpeta C:\KLEZ y ejecutarlo. (Y si no se tiene antivirus o lo ha borrado el virus también bajar a esta carpeta el SDAT42xx.EXE).
2.-DESCONECTAR LOS ORDENADORES DE LA RED Y NO INTERCONECTARLOS HASTA HABER ELIMINADO EL VIRUS DE TODA LA RED (NO JUNTAR INFECTADOS CON LIMPIOS)
3.- :
Ordenadores con Windows 95, 98, Me: y XP
Ejecutar ELIKLEZ.EXE desde C:\KLEZ, y luego salir de Windows, apagar y:
- Con W9x, arrancar en MSDOS (F8 y solo simbolo de sistema) y ejecutar LIMPIA (desde C:\KLEZ)
- Con Windows Me, arrancar con disquete de inicio y ejecutar LIMPIA (desde C:\KLEZ)
- Con Windows XP, arrancar con F8 y seleccionar modo seguro con solo símbolo de sistema y utilizar LIMPIANT terminando con RENSAT.EXE (desde C:\KLEZ)
Ordenadores con Windows NT, 2000:
ejecutar ELIKLEZ desde C:\KLEZ
reiniciar el ordenador
desactivar el VSHIELD
ejecutar LIMPIANT desde C:\KLEZ
ejecutar RENSAT.EXE desde C:\KLEZ
Ordenadores con antivirus borrado por el KLEZ:
Bajar SDAT42xx.EXE (el existente en la web) en carpeta C:\KLEZ
ejecutar ELIKLEZ.EXE desde C:\KLEZ
arrancar en modo MSDOS (en NT, 2000 reiniciar y abrir una ventana de DOS)
ejecutar SDAT42xx /E en C:\KLEZ
ejecutar "LIMPIA ." desde C:\KLEZ
si el S. O. es NT, 2000 o XP, terminar ejecutando RENSAT.EXE, desde C:\KLEZ
4.-Ejecutar DESINST (desde C:\KLEZ) y, desde CDROM, instalar el antivirus y actualizarlo.
5-.Y POR ULTIMO. RECORDAR INSTALAR EL ULTIMO PARCHE ACUMULATIVO DE MS PARA INTERNET EXPLORER Y EL ANTIVIRUS ACTUALIZADO, EN TODOS LOS ORDENADORES,
Mas información sobre el KLEZ en nuestra web, www.satinfo.es, :
VIRUS KLEZ NOTA INFORMATIVA DEL 22 ENERO 2002
MAS SOBRE EL KLEZ NOTA INFORMATIVA DE 12 FEBRERO 2002 PAYLOAD DEL KLEZ NOTA INFORMATIVA DEL 8 DE MARZO 2002 PARCHES ACUMULATIVOS NOTA INFORMATIVA DEL 4 DE ABRIL 2002CIH CON KLEZ NOTA INFORMATIVA DEL 2 DE MAYO 2002
SATINFO, VIRUSCAN SPAIN SERVICE (29 de Abril de 2002)
Actualizado en 14 de Junio 2002
2ª actualización 18 Junio 2002