 |
Web Hosting by Netfirms | Free Domain Names by Netfirms |
|
|
|
El virus W32/Klez a
fondo
recopilado por Juan F. Mancebo
Un nuevo tipo de virus gusano de origen asiático escrito en Visual C, ha comenzado a propagarse a través del correo electrónico con un adjunto de nombre seleccionado al azar y con extensión .EXE. Incluye una copia comprimida de otro virus, W98/Elkern, el cuál sólo funciona correctamente en computadoras con Windows 98 o Me instalado (no con Windows 95).
Si la fecha actual de ejecución, corresponde a un mes de número impar (enero, marzo, etc.) y el día es 13, el virus inicia una rutina destructiva (payload), la cuál examina todas las unidades de disco locales y las compartidas en red, y corrompe todos los archivos de dichas unidades con datos aleatorios, dejándolos irrecuperables (sin posibilidad de ser limpiados por un antivirus).
Mecanismo de infección
La vulnerabilidad que permite la ejecución de este virus, es la misma que actúa con el W32/Nimda. Un mensaje con formato HTML, conteniendo un enlace a algún archivo, puede ser manipulado, cambiando el tipo de extensión MIME (Multipurpose Internet Mail Extensions) asignado por defecto a dicho archivo. En el caso del Nimda, también se utiliza la capacidad de infección que permite esta vulnerabilidad también desde una página Web, y no solo a través de un correo electrónico.
Para evitar esta falla de seguridad del MS Internet Explorer se puede desactivar la reproducción automática de sonidos desde el navegador, para ello, desde el menú del IE pulsar en Herramientas/Opciones de Internet/Opciones avanzadas/Multimedia y desactivar la opción Reproducir sonidos. Sin bien esto no elimina el virus ni impide que si el archivo es abierto se ejecute, al menos impide que con solo previsualizar el mensaje infectado se active.
MIME es un protocolo que especifica la codificación y el formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type). La segunda especifica en qué grupo de la clasificación se incluiría el contenido del cuerpo del mensaje.
Un cambio premeditado de estas etiquetas (en el caso de este virus y del Nimda, están marcadas como del tipo "audio/x-wav"), confunde al Internet Explorer, permitiendo la ejecución del enlace, por el simple hecho de visualizar el mensaje. El IE descifra las etiquetas MIME, y al encontrarse con una de audio (en realidad no lo es), intenta ejecutar el sonido mientras se esté visualizando el mensaje (incluso en la vista previa), lográndose la ejecución del adjunto, sin la intervención del usuario.
Lo primero que el gusano crea en la máquina que acaba de infectar, son dos archivos, con los atributos de ocultos (+H) en la carpeta C:\Windows\System: Krn132.exe (una copia del gusano), y Wqk.exe (un segundo virus conocido como Elkern.A). Luego, se modifican las siguientes entradas en el registro de Windows, para que ambos archivos se ejecuten en el reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Wqk = %System%\Wqk.exe Krn132 = %System%\Krn132.exe La variable %System% corresponde por defecto (en Windows 9x, Me), a esta carpeta: C:\Windows\System
Mecanismos de propagación
Una vez infectado el sistema, el gusano puede enviarse a sí mismo a todas las direcciones de la libreta de Windows (Windows Address Book, WAB). Incluye el propio virus adjunto.
El mensaje puede tener cualquier remitente, asunto, texto, e incluso cualquier nombre de archivo adjunto. Esto aumenta las posibilidades de propagación, ya que es muy difícil mantener un patrón común de identificación. Esto sumado al hecho de su ejecución sin siquiera abrir el adjunto, lo colocan en una posición de virus por el que hay tener especiales cuidados.
Para enviar los mensajes, el gusano genera una lista de servidores SMTP al azar, utilizando el nombre del dominio existente en las direcciones de envío, y añadiendo el prefijo "smtp". Por ejemplo, si una de las direcciones recogidas es nombre@midominio.com, el gusano intenta con: smtp.midominio.com.
También se puede propagar generando numerosas copias de sí mismo en la carpeta de los archivos temporales de Windows (por defecto: C:\Windows\TEMP). Estas copias poseen nombres seleccionados al azar, y el gusano intenta copiarlos a todas las carpetas compartidas con permiso de escritura. El gusano busca archivos con extensiones: TXT, HTM, DOC, JPG, BMP, XLS, CPP, HTML, MPG, MPEG, y los infecta con su propio código, y una doble extensión (archivo.XLS.EXE, archivo.DOC.EXE, etc.). Esta acción es repetida cada 8 horas.
El gusano también intenta deshabilitar el escaneo de los antivirus a las unidades de disco locales y en red, realizando él un escaneo de esas unidades.
Al ejecutarse, el virus intenta esconderse de la lista de aplicaciones. Además, monitorea las aplicaciones que se ejecutan. Ese es el método usado para encontrar algún antivirus intentando escanear, y finalizar entonces su proceso, realizando el propio virus un escaneo.
Sin embargo, debido a un error de programación (aún los virus tiene errores!!), solo escanea la unidad A:. Esta acción falla, debido a que esta unidad, normalmente está asignada a la disquetera, y no es una unidad de disco duro o de un recurso de red.
Procedimiento de limpieza
Ficha técnica
Nombre: W32/Klez
Tipo: Gusano de Internet
Destructivo: Si
Alias: TROJ_KLEZ.A, W32.Klez, KLEZA.A, W32/Klez-mm, Klaz, W32/Klez@MM,
W32.Poverty.A@mm
Fecha: 26/oct/01
Origen: Asia
Tamaño: 57,345 Bytes
Puede leer más acerca de este tema en:
