Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Klez.F
 
 
  
Nombre: W32/Klez.F
Alias:  
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 26/10/2001
Nivel de Riesgo (0-5): 1
Nivel de Distribución (0-5): 1
Nivel de Daños (0-5): 1
  
  
Descripción breve: 

          W32/Klez.F es un gusano preparado para distribuirse por correo electrónico. Inicialmente el gusano se recibe como fichero adjunto a un mensaje que cuyas características pueden variar. 

          Las acciones que realiza este gusano consisten en modificar algunos controladores del sistema, lo cual podría impedir el correcto arranque del ordenador afectado. Por otra parte, sobreescribe ficheros ejecutables, quedando éstos inservibles. 
  
  
Modo de propagación: 
  
          Este gusano utiliza principalmente el correo electrónico para propagarse. Las características de los mensajes enviados podrán ser diferentes en cada ocasión: 

          Entre los posibles asuntos del mensaje podrían encontrarse los siguientes:  

    • Don't drink too much
    • Hello, %nombre del receptor %,questionaire
    • Your password
    • How are you
    • Japanese lass' sexy pictures
    • Hi, %nombre del receptor%, congratulations
    • Welcome to my hometown
    • A funny website
          Cuerpo del mensaje: los mensajes enviados carecen de contenido alguno. 

          Fichero adjunto: Su nombre puede ser variable y podrá tener una de las siguientes extensiones: SCR, PIF, BAT y EXE. 
  
  
Síntomas de infección: 

          El día 6 de los meses de marzo, mayo, septiembre y noviembre, el gusano sobrescribe con unos y ceros el contenido de los ficheros con las siguientes extensiones: BAK, C, CPP, DOC, HTM, HTML, JPG, MP3, MPG, MPEG, PAS, TXT, WAB y XLS. 

          Por otra parte, el día 6 de los meses de enero y julio, el gusano sobreescribe con unos y ceros el contenido de todos los ficheros que se encuentren en el ordenador. 
  
  
Métodos de infección: 
  
          Cuando se ejecuta el fichero adjunto, éste se copia a sí mismo en el directorio del sistema de Windows así como en el temporal. En el primer caso, se copia a sí mismo bajo el nombre Winkxxxx.exe, donde xxxx podrá ser cualquier letra del abecedario elegida aleatoriamente.  

          Por otra parte, el nombre del fichero que copia en el directorio Temporal está compuesto de 8 caracteres alfanuméricos generados de forma aleatoria.  

          De igual forma, crea en el directorio del sistema un fichero con un tamaño de 12.416 Bytes denominado WQK.EXE. Éste resulta ser un virus que infecta ficheros de tipo.PE. El nombre de este virus es el siguiente:  W32/Elkern. 

          Por otro lado, crea dos entradas en el registro de Windows. Éstas provocarán la ejecución de ambos ficheros cada vez que se inicie el sistema. La ubicación de dichas entradas es la siguiente: 

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

          El gusano busca direcciones de correo en la libreta de direcciones para enviarse como fichero adjunto según el formato indicado anteriormente. 

          Por otra parte, aprovecha una vulnerabilidad de la aplicación Internet Explorer, ya utilizada por diversos gusanos anteriormente, que permite que se ejecuten ficheros automáticamente a través de la vista previa de Outlook o al abrir el mensaje que lo contiene.  

          Si desea más información sobre esta vulnerabilidad y el parche correspondiente visite la siguiente página de Microsoft: 

          http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP 

          Adicionalmente, modifica la entrada e32_restab (Offset of resident name table) de algunos drivers VxD dejándolos inoperativos. Esto provoca que al reiniciar el sistema los drivers no se ejecuten adecuadamente y el sistema no pueda arrancar. Adicionalmente, sobrescribe ficheros ejecutables quedando éstos inservibles.  

          Finalmente, el gusano está programado para eliminar ficheros de diversas aplicaciones antivirus. 
  
  
Cómo reparar los efectos producidos: 
  
          Si usted ha recibido el gusano a través del correo electrónico y el antivirus así lo ha detectado, deberá eliminar el mensaje que usted ha recibido tanto de la bandeja de entrada como de la bandeja de elementos eliminados.  

          Siga los siguientes pasos para solucionar la infección del gusano: 

    • Actualice su antivirus con el último fichero de identificadores de virus disponible (PAV.SIG).

      •  
    • Realice un análisis completo de su ordenador con su antivirus o bien con la solución gratuita ActiveScan.
          Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. Desde esta página podrá descargar dicha herramienta dependiendo del sistema operativo del ordenador. 
  
          Descargue el fichero PQREMOVE.COM (1Mb.) y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre las siguientes direcciones).