Virus Elkern.C

Efectos:

Elkern.C se activa con tan sólo visualizar el mensaje a través de la Vista previa de Outlook. Para esto, se aprovecha de una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.05).

Elkern.C tiene los siguientes efectos:

• Intenta desactivar la protección permanente de algunos programas antivirus.
• Infecta aquellos ficheros con extensión EXE y SCR, que tengan un tamaño superior a 8 Kbytes. Afecta a todas las unidades de disco y a las de red accesibles desde el ordenador afectado.

Metodo de infección:

Elkern.C sólo infecta ordenadores cuyo sistema operativo sea Windows 98 o Windows 2000. El motivo es que utiliza una dirección fija (únicamente válida en dichos sistemas operativos) para llamar a una API de Windows.

En función del sistema operativo del ordenador, Elkern.C seguirá diferentes patrones de infección:

Windows 98:

• Elkern.C crea el fichero WQK.EXE en el directorio de sistema de Windows. Este fichero presenta los siguientes atributos: oculto, sistema y de sólo lectura.
• Crea la siguiente entrada en el Registro de Windows:
  HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WQK = %sysdir%\ wqk.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Elkern.C consigue ejecutarse cada vez que se inicia Windows.
  Elkern.C no es visible en la Lista de tareas, dado que se registra como un proceso de servicio.

Windows 2000:

• Elkern.C crea el fichero WQK.DLL en el directorio de sistema de Windows. Este fichero presenta los siguientes atributos: oculto, sistema y de sólo lectura.
• Modifica la siguiente entrada del Registro de Windows:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
  AppInit_DLLs = Wqk.dll
  Mediante esta modificación, Elkern.C consigue ejecutarse cada vez que se inicia Windows.

Por último, Elkern.C lleva a cabo las siguientes acciones, tanto en ordenadores con Windows 98 como con Windows 2000:

• Elkern.C se coloca como residente en la memoria.
• Infecta los procesos que estén activos y que no tengan por nombre \explorer.
• Intercepta las funciones DispatchMessageA y DispatchMessageW para infectar los procesos que estén activos cuando se ejecuta alguna de ellas.
• Comprueba si está activa alguna herramienta de depuración. Para ello utiliza una llamada a la API de Windows IsDebuggerPresent.

Metodo de propagación:

¿Cómo llega a los ordenadores?

• Elkern.C llega en el interior del gusano Klez.I porque no puede propagarse por sus propios medios. El mensaje de correo suele tener uno de los siguientes asuntos:
  A powful tool, Worm Klez.E immunity o A funny website.

• Al ir unido a Klez.I, Elkern.C se reenvía automáticamente a todos los contactos que encuentra en la Libreta de direcciones.
  Si desea más información sobre el mensaje de correo en el que llega Elkern.C, pulse aquí.

¿Cómo se activa?

• Elkern.C se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit Iframe.
• Al abrir el mensaje que contiene el gusano Klez.I.
• Al abrir o ejecutar cualquiera de los ficheros incluidos dentro del mensaje correspondiente al gusano Klez.I.

¿Cómo se reenvía?

• Elkern.C al estar incluido dentro de Klez.I, se reenvía automáticamente a todos los contactos existentes en la Libreta de direcciones, vía conexión SMTP.
• En muchos casos y gracias a Klez.I, modifica la dirección del remitente del mensaje infectado, lo que dificulta su detección.

Otros detalles:

Elkern.C es un virus polimórfico con un tamaño de 4926 Bytes.