W32/Klez-H

Vea la información para eliminar gusanos.

Vea la información (en inglés) para desinfectar los virus W32/ElKern-C y W32/Klez-H.

Nota: W32/Klez-H es capaz de extenderse simulando proceder de Sophos. Por supuesto, Sophos no ha enviado ninguno de esos email.

W32/Klez-H es detectado por Sophos Anti-Virus versión 3.55 y posteriores como W32/Klez-G al utilizar una técnica de detección genérica.

W32/Klez-H es un gusano Win32 que contiene una copia comprimida del virus W32/ElKern-C que se copiará en el sistema y se ejecutará.

W32/Klez-H se copia en el directorio System de Windows con un nombre aleatorio que comenzará con "wink" y tendrá extensión EXE.

El gusano buscará direcciones de email en el libro de direcciones de Windows y en archivos con las extensiones TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 y PDF.

La dirección que aparece como remitente se elige de una lista incluida en el virus.

El gusano obtendrá la lista de direcciones de email almacenadas en el libro de direcciones de Windows y en archivos del disco duro, pero utilizará su propia rutina para enviar los mensajes, que tendrán las siguientes características:

Asunto:
Creado de forma aleatoria con diferentes opciones.

1.
Una combinación de "Hi,", "Hello," "Re:", "Fw:" o nada

más

"Very" o "special"

seguido de

"New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" o "IE 6.0" para completar alguna de las siguientes frases:

"A %s %s game."
"A %s %s tool."
"A %s %s website."
"A %s %s patch."

Por ejemplo "A special powful tool"

2.
Una combinación de "W32.Elkern" o "W32.Klez.E", y "removal tools".

Por ejemplo "W32.Klez.E removal tools"

3.
Elegido de la siguiente lista:

how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
Sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Undeliverable mail --
Returned mail --

4.
Worm Klez.E immunity

Mensaje:
Creado de forma aleatoria o en blanco.

Si el asunto es "Worm Klez.E immunity", el mensaje será:
"Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me."

Archivo adjunto:
Nombre aleatorio, con la extensión PIF, SCR, EXE o BAT.

La dirección del remitente será elegida de una lista que el virus incluye.

Ya que el gusano utiliza su propio motor SMTP, el mensaje puede simular cualquier precedencia. Algunos mensajes mostrarán como remitente diversas compañías antivirus (Symantec, Mcafee, F-Secure, Sophos, Trendmicro o Kaspersky).

El servidor SMTP utilizado para enviar los mensajes lo toma del valor "SMTP Server" en la clave del registro

HKCU\Software\Microsoft\Internet Account\Manager\Accounts

En cada email, W32/Klez-H adjuntará algún archivo infectado con la extensión TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3, o PDF. Esto puede suponer un riesgo para la confidencialidad de la empresa.

W32/Klez-H intenta deshabilitar el programa antivirus borrando sus archivos.

El gusano intenta aprovechar las vulnerabilidades en MIME y IFRAME de algunas versiones de Microsoft Outlook, Microsoft Outlook Express e Internet Explorer que permiten ejecutar archivos de forma automática. Microsoft ha creado un parche para solucionarlo Microsoft Security Bulletin MS01-027. (Este parche cierra varias vulnerabilidades en programas de Microsoft.)

W32/Klez-H puede también extenderse a través de recursos compartidos en redes. Utilizará nombres aleatorios con posible doble extensión. La primera extensión tomada de la lista:

TXT
HTM
HTML
WAB
ASP
DOC
RTF
XLS
JPG
CPP
C
PAS
MPG
MPEG
BAK
MP3
PDF

Y para la segunda extensión:

PIF
SCR
EXE
BAT

Por ejemplo, una doble extensión podría ser .txt.exe

W32/Klez-H añadirá el valor "wink<aleatorio>" en el siguiente registro de manera que se ejecute en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Además el gusano intentará inhabilitar el programa antivirus deteniendo los siguientes procesos:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

Y borrando los archivos:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMART CHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT