W32/Klez.I es un gusano escrito en Visual C++ 6.0 que se propaga por correo electrónico enviándose a todos los contactos de la libreta de direcciones. Las características de los mensajes que envía pueden ser diferentes en cada ocasión. 

          Este gusano está preparado para finalizar ciertos procesos en los ordenadores afectados, así como para borrar ficheros. Alguno de los ficheros que borra podrían corresponder a ciertos productos antivirus.  

          Por otra parte, utiliza una vulnerabilidad de Internet Explorer, ya utilizada por otros gusanos, consistente en permitir la ejecución de ficheros adjuntos de forma automática al abrir el mensaje o simplemente al verlo a través de la vista previa de Outook. 

          Si desea descargar el parche que soluciona esta vulnerabilidad, visite la siguiente página: 

                    http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP 
  
  
Modo de propagación: 
  
          W32/Klez.I utiliza principalmente el correo electrónico para propagarse. En concreto, se envía a todos los contactos almacenados en la libreta de direcciones (ficheros WAB) en un mensaje con características variables.  

          El gusano es capaz de cambiar la dirección del remitente del e-mail, por lo que muchos de los mensajes que contienen el gusano W32/Klez.I parecen haber sido remitidos por usuarios cuyos equipos, en realidad, no han sido atacados por él. 

          Para realizar el envío de los mensajes, el gusano utiliza una conexión SMTP. 

          Entre los posibles asuntos y textos del mensaje podrían encontrarse los siguientes: 

                    Asunto: A  powful tool 
                    Contenido del mensaje: 
                              This is a special powful tool 
                              I expect you would enjoy it 

                    Asunto: Worm Klez.E immunity 
                    Contenido del mensaje: 
                              Klez.E is the most common world-wide spreading worm.It's very dangerous 
                              by corrupting your files. 
                              Because of its very smart stealth and anti-anti-virus technic,most common 
                              AV software can't detect or clean it. 
                              We developed this free immunity tool to defeat the malicious virus. 
                              You only need to run this tool once,and then Klez will never come into your 
                              PC. 
                              NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV 
                              monitor maybe cry when you run it. 

                              If so,Ignore the warning,and select 'continue'. 
                              If you have any question,please mail to me <dirección del remitente> 

                    Asunto: A  funny website 
                    Contenido del mensaje: 
                              This is a funny website 
                              I hope you would like it 

                    Otros posibles asuntos: 

• !supportEmptyParas
• How are you 
• Sito utilizza frames!!
• Fw:introduction on ADSL
• Look,my beautiful girl friend
• Reset Display
• 205 MB of free hard disk space, but may
• let's be friends
• darling
• so cool a flash,enjoy it
• your password
• honey
• some questions
• please try again
• welcome to my hometown
• the Garden of Eden
• meeting notice
• questionnaire
• congratulations
• sos!
• japanese girl VS playboy
• eager to see you
• spice girls' vocal concert
• japanese lass' sexy pictures

• Re: Fw: Undeliverable mail--"%s"  
• Returned mail--"%s"  
• a %s %s game  
• a %s %s tool  
• a %s %s website  
• a %s %s patch  
• %s removal tools 

          new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32.Elkern, W32.Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro,  Kaspersky 

          En ciertas ocasiones el mensaje puede incluir un asunto compuesto por las siguientes frases: 

          I %s you would %s it. 

          El símbolo %s corresponde a una palabra escogida entre las siguientes: enjoy, like, wish, hope o expect. 

• The following mail can't be sent to %s:  
• The attachment The file  is the original mail  give you the %s  
• is a %s dangerous virus that %s can infect on Win98/Me/2000/XP.  
• spread through email.  
• very  special  
• http:// www. .com  
• For more information,please visit  
• This is  
• Christmas  
• New year  
• Saint Valentine's Day  
• Allhallowmas  
• April Fools'Day  
• Lady Day  
• Assumption  
• Candlemas  
• All Souls'Day  
• Epiphany  
• Happy  
• Have a 

          .txt, .htm,.html, .wab, .asp, .doc, .rtf, .xls,.jpg,.cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3 o .pdf 
  
  
Métodos de infección: 
  
          En primer lugar, el gusano crea un fichero llamado Wink*.exe en el directorio del sistema de Windows. Este fichero es una copia del gusano. 

          Por otra parte, crea otro fichero de 10240 Bytes en el directorio Archivos de programa. Este fichero tiene nombre aleatorio y extensión EXE. Su nombre está compuesto por tres caracteres alfabéticos y cuatro numéricos.  

          Este último fichero es detectado como W32/Elkern.C. Éste es un virus de tipo PE con un tamaño de 4500 Bytes que infecta utilizando una técnica conocida como "cavity". Esta técnica consiste en insertar el código vírico en las áreas que se encuentren vacías en los ficheros infectados. De este modo el tamaño de éstos no resulta alterado. El virus W32/Elkern.C infecta ficheros que encuentra en todas unidades de disco; de la unidad A: a la Z:. 

          El virus contiene código que le permite buscar los siguientes procesos en memoria y finalizar su ejecución en caso de encontrarlos: 

_AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir, TASKMGR. 

          Asimismo, contiene código para eliminar entradas del Registro y para borrar ficheros. Éstos pueden ser ficheros correspondientes a programas antivirus o bien servir para la comprobación de integridad de ficheros: 

ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT y AGUARD.DAT. 

          Compruebe la existencia de los siguientes ficheros: 

          Fichero WINKxx.EXE en el directorio de sistema de Windows. 

          Fichero de nombre aleatorio y extensión EXE compuesto por tres caracteres alfabéticos y cuatro numéricos y 10.240 bytes de tamaño. De haberse producido la infección, este fichero se encontraría en el directorio de archivos de programa de Windows. 

          Compruebe la existencia de las siguientes entradas en el registro de Windows: 

          HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINKxx = %system%/WINKxx.EXE (donde WINKxx y WINKxx.EXE se refieren al fichero creado por el gusano) 

          En Windows 2000 y Windows XP, compruebe la existencia de la siguiente entrada en el registro de Windows: 

          HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink* 

          Si las entradas del registro o los ficheros mencionados se encuentran en su ordenador, significa que éste se encuentra infectado. 
  
          También puede saber si está infectado, haciendo lo siguiente:  

          Si usted es cliente registrado de Panda Software, actualice su herramienta antivirus en la dirección http://www.pandasoftware.es/es/actualizaciones.asp. Después de hacerlo, realice un análisis con él.  

          Si usted no es cliente registrado de Panda Software, analice ahora su/s ordenador/es mediante nuestra herramienta de análisis OnLine: ActiveScan. 
  
  
Cómo reparar los efectos producidos: 
  
          Si usted ha recibido el gusano a través del correo electrónico y el antivirus así lo ha detectado, deberá eliminar el mensaje que usted ha recibido tanto de la bandeja de entrada como de la bandeja de elementos eliminados.  

          Siga los siguientes pasos para solucionar la infección del gusano: 

• Actualice su antivirus con el último fichero de identificadores de virus disponible (PAV.SIG).

 
• Realice un análisis completo de su ordenador con su antivirus o bien con la solución gratuita ActiveScan.

          Web de Panda:  updates.pandasoftware.com/pqremove
          R.e I.C.A.Z.:  PqRemove.Com 
 
  
Cómo eliminar el virus definitivamente en ordenadores con Windows Me: 

          En ordenadores con Windows Millennium puede encontrarse con que tras eliminar un virus, el antivirus lo vuelve a detectar en la carpeta _restore una y otra vez, sin poder eliminarlo. Esta situación es provocada por una característica especial de Windows Millennium y no entraña ningún peligro. Sin embargo, puede crear alarma entre los usuarios no familiarizados con el funcionamiento de la carpeta  _restore.  

          Para eliminar el virus y solucionar este problema, siga estas instrucciones:  

• Haga clic en en botón Inicio de Windows.
• Seleccione la opción Configuración.
• Haga clic en Panel de control.
• Haga doble clic en Sistema.
• Abra la ficha Rendimiento.
• Haga clic en Sistema de archivos.
• Abra la ficha Solución de problemas.
• Active la casilla Deshabilitar Restaurar sistema.
• Pulse Aplicar.
• Desactive la casilla Deshabilitar Restaurar sistema.
• Haga clic en Aplicar.
• Pulse el botón Aceptar.
• Entonces, se mostrará un mensaje en el que se le preguntará si desea reiniciar el equipo. Hágalo y al arrancar de nuevo su equipo el virus habrá sido eliminado.