ALERTA VIRAL # 02-04
Yo lo compre e
* * * * * EL KLEZ.H
* * * * *
ALERTA VIRAL # 02-04
Yo lo compre e
* * * * * EL KLEZ.H
* * * * *
Nombre: W32/Klez.H@mm
Alias: W32.Klez.H@mm, Klez.H, W32/Klez.h@MM,
WORM_KLEZ.Gm, W32/Klez.I
Tipo: Gusano Internet
Notas Preliminares:
El día 17 de abril del 2002, miles de equipos en todo el mundo se vieron atacados por el virus Klez.H. Este es un virus - gusano - puerta trasera - troyano. Este virus llega por adjunto de correo electrónico y todos los elementos que contiene los toma de forma aleatoria con lo que vuelve difícil identificar el virus.
Descripción:
Este Virus es una variante de la famila de virus KLEZ, que es un gusano que se envía via adjuntos de correo eléctrónico. Un ejemplo es el que sigue:
Una vez infectado el equipo se instala en el registro de Windows y en el directorio System para asegurar que se ejecutara cada vez que Windows esté activo.
Finalmente el W32/KLEZ.H@mm recolecta la información de las direcciones encontradas en la libreta de direcciones y usa su propio programa SMTP para enviar copias de si mismo aleatoriamente a los recipientes de correo. Incluso toma una dirección aleatoria en la libreta de direcciones y envía los correos haciéndose pasar por esa persona y no por la cuenta que normalmente usa el equipo volviendo difícil saber que equipo o persona es la infectada o que equipo realmente envió el correo infectado.
Detección:
El CSAV versión 4.59 con las definiciones de virus del 17 de abril del 2002 detecta el Virus Klez.H@mm.
El Virus KLES.H@mmm es detectado y decontaminado con la versión 4.64.3 del CSAV. Solo es necesario actualizar los Componentes del CSAV 4.64.x a 4.64.3 de Win9x/Me, WinNT, Win2K/XP:
PRECAUCIONES
Una vez que el
KLEZ.H pega, solo restan algunas medidas drásticas, pero ya es posible
detenerlo. Se recomienda alerta frente a archivos anexos a mensajes de
correo no esperado o sospechoso ya que al ser aleatorio el encabezado,
el remitente y lo escrito no es posible decir que vendrá con un
cierto texto el correo o un cierto archivo para ser identificado. En
general usa varios títulos en el correo que pueden variar de "Your
Password", "...Eager to see you", "A Win XP Patch", "The Garden of Eden",
"A very new game", "japanese girl VS playboy", "Look,my beautiful girl
friend", "Japanese lass' sexy pictures", "6.1 NetWare 4.x Dependencies",
"some questions", "A special new website" entre muchos otros.
Si usted usa Outlook o Outlook Express, recomendamos instalar un firewall
como Zone Alarm, ya que esos programas de correo pueden ejecutar el anexo
incluso si el mensaje no se abre. Es muy recomendable
que actualize su OUTLOOK con los parches que proveé Microsoft
para protegerse de programas maliciosos que pretendan usar la libreta de
direcciones sin la autorización del usuario.
PROTECCION
Las definiciones de virus publicadas el 17 de abril del 2002 permiten detectar, interceptar los archivos infectados y descontaminarlos
Aplique los siguientes Parches:
Internet
Explorer 5.01 o IE 5.5
Notas sobre Descontaminación:
Para Win9x, Win2k/XP
Programa KERP.EXE
Fuente: Command Software Systems. Datos recabados por el
Departamento de Soporte de REDICOM, S. de R.L. de C.V. con base en
investigación documental y experimental.
--------------------------------------------------------------------
Regresar a página de CSAV