I-Worm.Klez

I-Worm.Klez« Volver al listado de Virus

Se trata de un virus de tipo gusano (worm) que se propaga vía internet adjunto a mensajes de correo electrónico. Se trata de un archivo Windows tipo PE EXE con un tamaño de alrededor de 57-65KB (dependiendo de la versión), y está escrito en Microsoft Visual C++.

Los mensajes infectados tienen asuntos variables y diferentes nombres en los adjuntos (mirar más abajo). El gusano utiliza un agujero de seguridad de internet Explorer (vulnerabilidad IFRAME) para iniciarse automáticamente cuando se visualiza el mensaje.

Para propagarse via red local y correo electrónico, el virus crea una archivo EXE de windows con un nombre aleatorio empezando por "K" (por ejemplo: KB180.exe) en una carpeta temporal, escribe el virus "win32.klez" en en y lo ejecuta.

El virus infecta la mayoria de los archivos Win32 PE EXE en todos los discos disponibles.Inicio
Cuando un archivo infectado se ejecuta, el gusano se copia a un directorio del sistema de windows con el nombre krn132.exe, momento en el que añade en el registro la siguiente clave para iniciarse automáticamente con windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Krn132 = %System%\Krn132.exe

donde %System% es el nombre del directorio del sistema de windows.

Entonces el virus busca las aplicaciones activas (antivirus, ver lista más abajo) y los detiene mediante un comando de "terminar proceso":

_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS

Propagación: correo electrónico:
El gusano utiliza el protocolo SMTP para enviar mensajes. Encuentra discciones de correo electrónico en las bases de datos WAB y envia mensajes infectados a estas direcciones.

El asunto del mensaje infectado se selecciona aleatoriamente de la siguiente lista:

Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Y el cuerpo de mansaje es el siguiente:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Fichero adjunto: archivo Win32 PE EXE con nombre aleatorio, con extensión .exe o con una doble extensión:
name.ext.exe

El virus selecciona el nombre del archivo escaneando todos los discos duros para encontrar archivos con las siguientes extensiones:

.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

Utiliza uno de los nombres encontrados como nombre base del archivo adjunto y le añade la segunda extensión ".exe".

El gusano inserta su propio campo "From:" en los mensajes infectados. Dependiendo del contador aleatorio inserta una dirección real de correo electrónico, o una dirección falsa generada aleatoriamente.

Una característica interesante del gusano es que, antes de enviar emnsajes infectados, el virus escribe las direcciones de correo electrónico encontradas en su archivo EXE.

Todos los caractéres en el cuerpo del gusano (mensajes y direcciones) son almacencados de forma encriptada.

Propagación: unidades locales y de red:
El gusano enumera todas las unidades locales y recursos de red con propiedades de escritura y hace alí una copia de el con un nombre aleatorio nombre.ext.exe (la rutina para generar el nombre es similar a la utilizada para los ficheros adjuntos). Después de replicarse en las unidades de red, se registra como servicio del sistema.

Carga:
Los días 6 y 13 de cada mes, el gusano ejecuta una rutina que rellena todos los archivos en todos los discos de las víctimas con un contenido aleatorio. Estos archivos pueden no pueden ser recuperados y deben ser restaurados de sus copias de seguridad.

Otras versiones:
Hay varias modificaciones de este virus. I-Worm.Klez.a-d son muy similares y tienen pocas diferencias.

Klez.e
Instalación:
El gusano se copia en el directorio de sistema de windows con un nombre aleatorio que comienza por "Wink", por ejemplo "winkad.exe".

Infección:
El gusano busca algunas claves de registro para encontrar enlaces a aplicaciones:
Software\Microsoft\Windows\CurrentVersion\App Paths

Entonces intenta infectar las aplicaciones EXE que encuentra. Cuando infecta un EXE crea un archivo con el mismo nombre y extensión aleatoria, así como con atributos también aleatorios. Este archivo es utilizado por el virus para ejecutar el programa original infectado.Cuando se ejecuta el archivo infectado, el gusano extrae el archivo original a un directorio temporal con su nombre original más 'MP8' y lo ejecuta.

El virus infecta archivos RAR copiandose con un nombre aleatorio. El nombre del archivo infectado se selecciona entre los de la siguiente lista:

setup
install
demo
snoopy
picacu
kitty
play
rock

y tiene una o dos extensiones, donde la última es ".exe", ".scr", ".pif" o ".bat".

Propagación: correo electrónico:
El asunto del mansaje infectado es uno entre los que aparecen en la siguiente lista o es generado aleatoriamente:

Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures

El virus también puede generar el asunto del mensaje de entre las siguientes cadenas:

Undeliverable mail--%% Returned mail--%% a %% %% game a %% %% tool a %% %% website a %% %% patch %% removal tools
Where %% is selected from the following list:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez

El cuerpo de los mensajes infectados puede estar en blanco o puede llevar un contenido aleatroio.
Fichero adjunto: un fichero Win32 PE EXE con nombre aleatorio, con extensión exe o con doble extensión.

El virus utiliza un agujero de seguridad para autoejecutarse cuando se visualiza el mensaje.

Carga:
Los dias 6 de los meses impares, el gusano ejecuta una rutina que rellena todos los archivos en todos los discos de las víctimas con un contenido aleatorio. Estos archivos pueden no pueden ser recuperados y deben ser restaurados de sus copias de seguridad.

Otros:
El gusano busca los procesos activos que contengan las siguientes cadenas para detenerlos:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Una vez encontrados los detiene, momento en el que empieza a buscar y eliminar todos los archivos bajo el directorio desde el que se ejecutaron los procesos anteriores.

Klez.h
Variante muy similar al "Klez.e" con las siguientes diferencias:

Esta variante no tien ninguna carga peligrosa y no destruye ficheros. Hay más variantes de Asuntos y Cuerpos en los ensajes infectados. Algunos de los correos electrónicos infectados tienen el siguiente asunto y mesaje:
Worm Klez.E immunity

Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.

We developed this free immunity tool to defeat the malicious virus.

You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.

If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.

El gusano busca los archivos con las extensiones:
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf
y dependiendo de varias condiciones los adjunto a correos electrónicos infectados (segundo archivo adjunto). Como resultado de esto puede que se envien datos confidenciales.

El gusano también contiene el texto:

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing.
Este virus es detectado por Kaspersky antivirus desde Octubre de 2001.

Desinfección:
- Desconecte los ordenadores de la red.
- Descargue y ejecute esta utilidad (utilidad para la desinfección de los virus Klez).
- Después pase el escaner del antivirus con la acción de 'Preguntar que hacer', desinfecte los archivos y si no puede, eliminelos. Puede descargar cualquier versión de kaspersky antivirus aquí.
Para evitar que el virus vuelva a infectar su ordenador, debe instalar los parches de microsoft que le indicamos más abajo o bien actualizar su versión de Internet Explorer a una versión 6.
Descargue la versión de Internet Explorer 6 desde aquí. (Programa de descarga).
El parche para esta vulnerabilidad en versiones 5.01 y 5.5 está disponible en el sitio de Microsoft. Siga las instrucciones del siguiente artículo para su instalación: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp