Alerta: Klez , sigue siendo popular.

Es oficial: las compañías antivirus han nominado a Klez.H como el virus mas "virulento" de toda la ciberhistoria.

Normalmente después de un mes de haber salido, un virus baja rápidamente de las listas de infección y 3 meses después apenas si esta presente. Durante casi un Año, Sircam, el virus que dice que fue escrito en Cuitzeo Michoacán, llevo el récord de infecciones. Sin embargo llegando a su 4 mes de haber sido relanzado, Klez no parece que tenga intenciones de irse.

Tal ves lo que sorprende a los expertos es que el código el virus no es particularmente complejo o sofisticado, sin embargo, el autor parece que entendió las técnicas de lo que se llama "ingeniería humana" para seguir engañando a miles de gentes con mensajes falsos, para convencerlos de que activen el virus.El virus cambia contantemente de tema, a veces pretende que es una herramienta para acabar con el virus, en otras pretende ser un correo devuelto, o un password enviado por otra compañía.

Además el autor de Klez ya va en su sexta versión y se espera de un momento a otro que sea liberada una nueva versión.

Otro característica del virus, es que convirtió a los sofisticados antivirus que ahora se encuentran en muchos servidores, en maquinas de SPAM, pues como el virus falsifica las direcciones de corre, muchas de las notificaciones y alertas de infecciones están siendo enviadas a las direcciones equivocadas. El resultado es que mucha gente recibe notificaciones de que están infectados con el virus, cuando en realidad no lo están.

Si tiene un servidor de correos, con una opción de antivirus, le recomiendo que apague temporalmente la opción de notificación.

Recomendaciones:

• Debe actualizar sus sistema operativo con los últimos parches de seguridad. En los sistemas viejos, Klez puede activarse con solo ver el correo.
• Debe aplicar este parche: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
• Norton 2002 y otros antivirus recientes puede revisar el correo "ANTES" de que lo lea su antivirus, les recomiendo tener esta opción activada.
• Es la opción por default pero algunos usuarios la encontramos molesta y la apagamos.

Usuarios de Eudora.

• Recomiendo que las opciones de leer correo, activen la opción de saltarse los correos mayores de 110 KB.
• Todos los correos entre 128 y 138 Kb son sospechosos.
• Si no conoce el contenido del correo bórrelo, si lo identifica, entonces puede marcar que si baje el archivo adjunto.

Para todos:
Configure su sistema para no oclutar extensiones, elimine cualqueir archivo que tenga doble extension.

Nota: si recibe un correo infectado, no se moleste en enviar una notificación a la dirección del correo, pues el virus la toma de la misma libreta de direcciones, es posible incluso que usted reciba un correo que parece que proviene de usted mismo 

• En Fsecure hay una herramienta para eliminarlo: pique aqui.
• Symantec tambien ofrece una heramienta para remover las infecciones. Bajela aqui.
• Si hay mucha carga, tambien lo puede bajar aqui

1. Practicas de seguridad para Administradores
2. Elken, el virus compañero de Klez
3. Actualización del virus Klez
4. Benjamin, virus para los usuarios de KaZaA

1. Apague y remueva todos los servicios innecesarios del sistema, tales como FTP, Telnet, y servidor de paginas. Estos servicios se instalan por default en Windows 2000 y NT. A menos que se mantengan actualizados con los últimos parches, todos estos sistemas representan puntos débiles en la seguridad de un sistema.
2. Si recibe notificación de que alguna amenaza explota alguno de los servicios del sistema, apáguelo hasta que aplique los últimos parches.
3. Siempre mantenga sus parches al día, especialmente en computadoras que matienen servicios públicos como HTTP, FTP, correo y servicios DNS.
4. Haga recomendaciones a sus usuarios para que utilicen passwords complejos. Los passwords basados en nombres de lugares y personas son fáciles de adivinar. Es mejor passwords que utilicen mezclas de números y letras
5. Configure su servidor de correos para eliminar automáticamente los archivos adjuntos que se usan normalmente para enviar virus como: .vbs, .bat, .exe, .pif y.scr .
6. Si detecta un computadora infectada, debe desconectarla de la red para evitar que esparza la infección. Debe realizar un scan completo, antes de restaurarla a la red.
7. Entrene a sus empleados a que no abran ningún archivo adjunto, a menos que conozcan su contenido y lo estén esperando. No ejecute software que hayan bajado de la red, hasta asegurarse de que este escaneado contra virus.
8. Es posible infectarse con solo visitar un sitio web, si es que no ha aplicado los últimos parches de seguridad de Explorer. Mantenga sus parches al día.
   

 Ficha:
 Descubierto: Abril 17 2002
 Variantes: W32.ElKern.3587, W32.ElKern.3326
 Tipo: Virus
 Tamaño: 4,926 bytes

Este es una variante de un virus ya viejo, pero tienen la característica de que es liberado por Klez.H.Así que se considera como un componente de Klez, y es removido por las mismas herramientas que eliminan a Klez.Entre las diferencias con la versión original de virus, están:

1. YA no infecta archivos autoextraibles .rar y .zip
2. Tienen un algoritmo de encripción para hacer mas difícil su detección.
3. Se elimino la carga destructiva.

1. Actualice su antivirus a la ultima versión, si su antivirus tiene mas de 1 años probablemente necesite conseguir una versión mas reciente.
2. Configure el antivirus para escanear TODOS los archivos. Por default los antivirus solo escanean los archivos mas comunes de infectar.
3. Pida un scan completo del sistema
4. Si detecta un archivo infectado con Elken, seleccione reparar.
5. Reinicie la computadora.
6. Repítalos pasos 3 a 5 hasta que no aparezcan mas archivos infectados.
   

 Klez.h es una variante del virus w32.Klez.E.

Es capaz de esparcirse a través del correo electrónico, infectado computadoras conectadas a la red, e infectar archivos.

Hay varias herramientas especificas para remover a Klez.h y sus variantes. Consulte en Symantec, Dr. Solomon y AVC por las ultimas versiones.

• En Fsecure hay una herramienta para eliminarlo: pique aqui.
• Symantec tambien ofrece una heramienta para remover las infecciones. Bajela aqui.
• Si hay mucha carga, tambien lo puede bajar aqui.

En caso de sospechar infecciones debe intentar estas herramientas primero.

Nombre: w32.Klez.H
Alias : W32/Klez.h@MM, WORM_KLEZ.H, W32/Klez-G, I-Worm.Klez.h, Klez.H, W32/Klez.H,    Win32.Klez.H, WORM_KLEZ.I
Tipo: Worm (gusano)
Sistemas que infecta: Windows 95, Windows 98, Windows NT, Windows 2000, Windows    XP, Windows Me
No afecta a Linux y MacintoshDaños 

1. Carga destructiva: este gusano infecta los archivos ejecutables, creando una copia del oculta y encriptada del archivo original, y sobreescribiendo el archivo original. La copia oculta esta encriptada, pero no esta infectada. Esta copia retienen el nombre del original, pero con una extensión aleatoria.
2. Envío masivo de correos. Este virus busca toda la direcciones de correo que se encuentren en: El libro de direcciones de Windows, la base de datos de ICQ, y en los archivos locales, como word, Excell, archivos de texto etc. Envía un correo infectado a estos correos, pero modifica la dirección de envío, para que parezca que vio de otra de las direcciones que ha obtenido de su computadora
3. Esparce información confidencial. El virus toma algún archivo de datos de su maquina, para infectarlo y enviarlo, de manera que puede enviar información confidencial. Los archivos susceptibles son: ".mp8", ".txt" , ".htm" , ".html" , ".wab" , ".asp" , ".doc" , ".rtf" , ".xls" , ".jpg" , ".cpp" , ".pas" , ".mpg" , ".mpeg" , ".bak" , ".mp3" , ".pdf"

Funcionamiento:Al llegar el virus por correo, puede activarse con solo verlo en Outlook si es que no ha actualizado los últimos parches de seguridad. Lo mas usual es que el usuario pique en el archivo gracias a que el virus logra engañar a mucha gente.

El virus se copia al directorio de system o system32, con el nombre wink(varios caracteres al azar).exeAñade ese dato al registro de Windows, para que se ejecute automáticamente con Windows.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

O crea esta otra clave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[caracteres al azar]

Después el virus trata de desactivar los escaners de virus que detectan los accesos al sistema, además tratar de desactivar algunos virus como Nimda y código Rojo.

El virus busca eliminar las entradas del registro de Windows de los antivirus, para evitar que se vuelva a actuar al iniciar la maquina y borra las bases de datos sobre la integridad de los archivos que mantienen los antivirus: 

* Anti-Vir.dat * Chklist.dat * Chklist.ms * Chklist.cps * Chklist.tav * Ivb.ntz * Smartchk.ms * Smartchk.cps * Avgqt.dat * Aguard.dat

El virus localiza las unidades y folders compartidos de red, y se copia en la forma de una archivo con doble extensión, de manera que si esta activada la opción de activar extensiones, no se vea que es una archivo ejecutable. Por ejemplo "archivodetexto.txt.exe", "archivo.txt.rar" Correo.

El gusano busca los correos en la libreta de dirección de Windows, en ICQ y escanea los archivos locales en busca de mas direcciones.

Busca en los archivos con estas extensiones: mp8, .exe, .scr, .pif, , .bat, .txt, .htm, .html, .wab, .asp, .doc, .rtf, .xls, .jpg, .cpp, .pas, .mpg, .mpeg, .bak, .mp3, .pdf.

El virus contienen su propio programa de Email, y trata de conectarse directamente a los servidores SMTP de correo.

El tema del correo, el cuerpo del correo y los nombres de los archivos adjuntos son aleatorios.La dirección de origen del correo es escogida al azar de las direcciones de correo que se encuentran en la computadora infectada, por lo que el correo parece que viene de una persona que en realidad no esta infectado

.El archivo adjunto contiene una extensión doble, como foto.jpg.exe vale la pena configurar el sistema para que siempre muestra las extensiones y borrar cualquier archivo que tenga una extensión doble. El tema del correo puede ser uno de estos:

* Undeliverable mail--"[Palabra]" * Returned mail--"[Palabra]" * a [Palabra] [Palabra] game * a [Palabra] [Palabra] tool * a [Palabra] [Palabra] website * a [Palabra] [Palabra] patch * [Palabra] removal tools * how are you * let's be friends * darling * so cool a flash,enjoy it * your password * honey * some questions * please try again * welcome to my hometown * the Garden of Eden * introduction on ADSL * meeting notice * questionnaire * congratulations * sos! * japanese girl VS playboy * look,my beautiful girl friend * eager to see you * spice girls' vocal concert * japanese lass' sexy pictures Donde [palabra] puede ser. * new * funny * nice * humour * excite * good * powful * WinXP * IE 6.0 * W32.Elkern * W32.Klez.E * Symantec * Mcafee * F-Secure * Sophos * Trendmicro * Kaspersky 

Debido a que el virus falsifica el correo de origen, es muy usual que personas no infectadas reciban quejas de que su computadora esta infectada.

Dos de los temas mas comunes de Klez, es pretender que es un correo devuelto, o que es una herramienta para eliminar o inmunisarse contra Klez. Cuidado, no existe ninguna herramienta para volver un sistema inmune a Klez. 

Insercion de virusEntre otras cosas, Klez libera el virus W32.Elkern. que mide 4926 bytes.  Notas sobre la remocion del virus:

1. La mejor manera es utilizar las herramientas de remoción que se encuentran en los sitios de Zymantec o de otra compañía antivirus.
2. Desconecte la computadora de la red, y no la vuelva a conectar hasta asegurarse de que ya no este infectada
3. Antes de aplicar las herramientas de remoción, Reinicie su computadora y Reinicie en modo seguro, para asegurase de que este activo el menor numero de servicios.
4. Recuerde que Klez desactiva Norton y otros antivirus.
5. Si utiliza su antivirus, ejecutarlo del CD.
6. Después de aplicar la herramienta, debe reinstalar el antivirus.
7. Es posible que deba reinstalar el sistema o algunos programas, pues en algunos casos no es posible restaurar los archivos infectados

  Este virus, vienen disfrazado como un archivo de música, cine o algún software.

Se esparce a través de las redes de compartir archivos de KaZaA, engañando a los usuarios para que quieran bajarlo y activarlo.

 Nombre W32.Benjamin.Worm 
Tipo Worm (gusano)
Tamaño  del archivo: variable
Sistemas afectados: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemas no afectados; UNIX, Linux

Este virus requiere de el software de KaZaA para esparcirse. El gusano altera la instalación de KaZaA, de manera que el directorio donde se bajan los archivos este accesible a todos los usuarios de la red.

Esto permite que cualquier usuario baje archivos de esa dirección.El archivo lleva una lista con los nombres posibles del virus:

* Chterbahn Designer -full-downloader * Acrobat Capture 3.0 -full-downloader * Age of Empires-Games-full-downloader * American Pie 2 -divx-full-downloader * Baseball 2001-Games-full-downloader * Metallica - Blackened * ac dc - Fight For Your Right 

Ademas muestra un mensaje falso de Error:

El virus no lleva carga destructiva.

Cualquier antivirus actualizado debe elininarlo.

por Javier Delgado, Paralax Multimedia