El gusano W32/Klez
El W32/Klez-E es una variante del virus W32/Klez que tiene la habilidad de engañar al campo “ENVIADO POR:” del email. La dirección usada por el virus puede ser una que haya encontrado en el sistema infectado del usuario. Entonces, parece que el usuario infectado ha recibido este virus a través de otra persona, cuando realmente fue enviado desde otro sistema. Comprobando la cabecera completa del email, aparece la dirección verdadera del usuario que lo ha enviado.
Este gusano llega en un mensaje de e-mail en el asunto y cuerpo del mismo compuesto por diferentes temas de forma aleatoria, que el virus dispone en sí mismo y al cual puede añadir otros temas y tópicos.
En cuanto al asunto se han encontrado textos como ‘Document End’, ‘Happy Lady Day’, From, ‘Eager to see you’, Returned mail--"Document End",etc. Este virus puede también dejar inoperativos muchos de los programas antivirus desde la memoria
1) El Gusano interfiere en los programas que están ejecutándose y frecuentemente aparece un mensaje de error: el nombre que aparece es aleatorio pero siempre es un archivo . EXE.
2) No reconoce documentos WINKxxx.EXE en la carpeta WINDOWSSYSTEM (ej., WINKIDT.EXE o WINKKR.EXE).
3) Referencia a documentos WINKxxx.EXE (y "xxx" parece aleatorio) en una llave restringida HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
4) Los documentos ejecutables vienen acompañados de un tamaño y aleatoriedad de la misma extensión (ej., a parte de MSOFFICE.EXE puedes tener MSOFFICE.HRH el cual esta oculto en los archivos del sistemas). Además, si se ejecuta un documento infectado aparece temporalmente un tercer documento con "~1" en el nombre del archivo (ej., NETSCAPE.EXE no solo tendrá NETSCAPE.PXB si no también NETSCA~1.EXE de la misma extensión que NETSCAPE.EXE). Este tercer archivo es reconstruido por el archivo original y es eliminado por el gusano una vez que se cierra el programa.
5) Este gusano también causa serios problemas en el rendimiento del sistema y algunos dejan de funcionar.
W32/Klez.e@MM se envía a sí mismo usando el protocolo SMTP. Recolecta de la libreta de direcciones los destinatarios que va a utilizar.
Hay un día de activación asociado a esta amenaza. El 6 de los meses de marzo, mayo, septiembre o noviembre, el virus puede sobrescribir con ceros archivos locales o de red con las siguientes extensiones: .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, or .mp3. Si se trata del mes de enero o julio, todos los archivos pueden ser sobrescritos. Este comportamiento no ha sido observado en los laboratorios.
Instrucciones para su desinfección: Todos los productos antivirus han elaborado herramientas para eludir la descontaminación manual que es algo compleja y peligrosa, ya que deben realizarse modificaciones en el registro Windows. Recomendamos el uso de la herramienta de su antivirus. Las más importantes publicadas son:
W32.Klez Removal Tool (Symantec, Norton Antivirus)
Klezfix2.zip (Norman Antivirus)
Clrav.com (Kaspersky Antivirus)