|
Efectos:
Klez.I infecta y se activa, produciendo los siguientes efectos: - Introduce un virus llamado Elkern.C en el ordenador infectado.
- Envía por correo electrónico un archivo, escogido al azar en el ordenador afectado, a terceras personas. Dicho archivo puede tener cualquiera de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
- Busca los siguientes procesos en memoria (si los encuentra, finaliza su ejecución): _AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir, TASKMGR.
- Desactiva la protección permanente del antivirus, al eliminar la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
Apvxdwin - Klez.I borra archivos pertenecientes a programas antivirus y los que permiten comprobar la integridad de otros archivos. Concretamente: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT y AGUARD.DAT. APVXDWIN.EXE y AVENGINE.EXE en los ordenadores donde se encuentre instalado Panda Antivirus.
Metodo de infección:
Klez.I produce su infección, automáticamente, de varias formas: - Al visualizar, a través de la Vista previa de Outlook, el mensaje en el que llega el gusano. Para conseguirlo, Klez.I se sirve de una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). El código que permite a Klez.I aprovechar esta vulnerabilidad es detectado por Panda Software como Exploit/Iframe.
- Al abrir el mensaje en el que llega.
- Al abrir o ejecutar el archivo que incluye en el mensaje.
El proceso de infección de Klez.I sigue este patrón: Klez.I crea los siguientes archivos: - WINK*.EXE, en el directorio de sistema de Windows, que es la copia del gusano Klez.I.
- Un archivo de 10240 Bytes en el directorio Archivos de programa, con nombre aleatorio (tres caracteres alfabéticos y cuatro numéricos) y extensión EXE. Este archivo es detectado como un virus de nombre Elkern.C, con formato de archivo PE (Portable Ejecutable) y 4500 Bytes de tamaño.
Elkern.C busca áreas vacías dentro de los archivos a infectar. Una vez localizadas, las rellena con su código vírico sin afectar al tamaño del archivo. Esta técnica es conocida como cavity y dificulta su detección.
El virus Elkern.C infecta los archivos que encuentra en todas las unidades de disco, de la A: a la Z:.
Klez.I crea la siguiente entrada en el Registro de Windows: - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Wink* = Wink*.exe
Mediante esta entrada, Klez.I consigue ejecutarse cada vez que Windows se inicia.
Metodo de propagación:
Klez.I utiliza principalmente el correo electrónico para propagarse. Su patrón de actuación es: - Llega en un mensaje de correo electrónico de características variables, escrito en inglés:
Remitente:
Klez.I falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Versión 1:
Asunto:
A powful tool
Contenido:
This is a special powful tool
I expect you would enjoy it
Archivo adjunto: contiene dos:
Uno de ellos tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
Versión 2:
Asunto:
Worm Klez.E immunity
Contenido:
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question, please mail to me<dirección del remitente>
Archivo adjunto: contiene dos.
Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
Versión 3:
Asunto más frecuente:
A funny website
Otros asuntos posibles:
!supportEmptyParas
How are you
Sito utilizza frames!!
Fw:introduction on ADSL
Look,my beautiful girl friend
Reset Display
205 MB of free hard disk space, but may
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
En ocasiones, los asuntos pueden estar formados del siguiente modo:
Re: Fw: Undeliverable mail--"%s"
Returned mail--"%s"
a %s %s game
a %s %s tool
a %s %s website
a %s %s patch
%s removal tools
El símbolo %s representa una palabra escogida al azar entre: new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32.Elkern, W32.Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky.
En otros casos, el asunto está compuesto por frases. En ellas, el símbolo %s corresponde a una de estas palabras: enjoy, like, wish, hope o expect.
Como ejemplos podemos citar:
I %s you would %s it.
The following mail can't be sent to %s:
The attachment The file is the original mail give you the %s
is a %s dangerous virus that %s can infect on Win98/Me/2000/XP.
spread through email.
very special
http:// www. .com
For more information,please visit
This is
Christmas
New year
Saint Valentine's Day
Allhallowmas
April Fools'Day
Lady Day
Assumption
Candlemas
All Souls'Day
Epiphany
Happy
Have a
Contenido:
This is a funny website
I hope you would like it
Archivo adjunto: contiene dos:
Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
- Se activa al abrir el mensaje que lo contiene o al visualizarlo mediante la Vista previa de Outlook. Para esto, utiliza una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). Microsoft ya ha puesto a disposición de sus usuarios la solución a este problema.
- Klez.I envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones, utilizando una conexión SMTP.
Otros detalles:
Klez.I está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 85 KBytes. |
