Inicio > Mis eListas > spinoza > Mensajes

 Índice de Mensajes 
 Mensajes 888 al 907 
AsuntoAutor
¡ Principio de Inc Paulino
Re: Demostración r César Mo
Re: Hegemonía César Mo
Re: Hegemonía covadong
Y cuando todo esté Irichc -
no abráis un mensa Carlos P
Más información so Carlos P
Tópico dualista co Paulino
Re: Tolerancia covadong
El inconsciente co Paulino
Tópico sobre la Vo Paulino
Objeciones a Asimo Irichc -
RE: Objeciones a alfeon
Re: RE: Objeciones Irichc -
RESUMEN DE LA ARGU Irichc -
Reformulación del Irichc -
Re: Reformulación Paulino
Diferencias Todo/I Paulino
Re: Unico, infinit Roberto
Sobre Gustos, Sí h Paulino
 << 20 ant. | 20 sig. >>
 
Baruch de Spinoza
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 1176     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[spinoza] Más información sobre el Klez. Por favor, leedla entera.
Fecha:Sabado, 22 de Junio, 2002  01:01:37 (+0200)
Autor:Carlos Portillo <carlosfpf @..........es>

Hola a todos y todas: 
 
A continuación os copio el artículo al que me refería en mi anterior 
mensaje. 
 
Un saludo. 
 
Carlos. 
 
 
_______________________ 
 
 
VSantivirus No. 650 - Año 6 - Jueves 18 de abril de 2002 
 
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas! 
http://www.vsantivirus.com/klez-h.htm 
 
Nombre: W32/Klez.H (Klez.I) 
Tipo: Gusano de Internet 
Alias: Klez.H, W32.Klez.H@mm, W32/Klez.G@mm, W32/Klez-G, WORM_KLEZ.G, Klez.I 
Plataforma: Windows 32-bit 
Fecha: 17/abr/02  
Fuente: Central Command, F-Secure, Kaspersky Labs, Norman, NAI, Symantec, 
Trend.  
 
Básicamente se trata de una modificación del Klez.A. Para propagarse se 
copia a si mismo utilizando su propia rutina SMTP para enviar sus mensajes 
infectados. 
 
Este gusano hace uso de la vulnerabilidad conocida como "Incorrect MIME 
Header vulnerability" que afecta al Internet Explorer 5.01 o 5.5 que no han 
sido actualizados. El gusano posee la habilidad de tomar diferentes 
personalidades en el campo "De:", logrando que el mensaje parezca ser 
enviado por cualquier persona, aunque esta nunca haya sido infectada (Ver 
Referencias). 
 
Klez.H (G o I para algunos antivirus), puede además copiarse a si mismo a 
todas las unidades de disco mapeadas, locales y de red, con nombres 
aleatorios y una doble extensión (por ejemplo NOMBRE.TXT.EXE o 
NOMBRE.TXT.RAR). 
 
El gusano puede llegar a nuestra casilla de correo en un mensaje con una 
gran variedad de asuntos y textos. Esto complica su identificación a simple 
vista, y además es necesario tener en cuenta que algunos de esos mensajes 
pueden simular que provienen de alguna empresa de antivirus (Symantec, 
Sophos, F-Secure, Trend Micro, etc.). 
 
Estos son algunos de los "Asuntos" incorporados en esos mensajes: 
 
 
A very funny website  
1996 Microsoft Corporation  
Hello,honey  
Initing esdi  
Editor of PC Magazine.  
Worm Klez.E Immunity  
Some questions  
Telephone number  
 
 
El gusano puede infectarnos tanto por abrir el adjunto con un doble clic, 
como por visualizar el mensaje, tanto en la vista normal al leerlo, como al 
verlo en el panel de vista previa). 
 
Una de sus primeras acciones es modificar el registro, para posibilitar su 
carga y ejecución automática en cada nuevo reinicio de Windows: 
 
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
Wink[caracteres al azar] = Wink[caracteres al azar].exe 
 
 
El gusano intenta además, deshabilitar algunos productos antivirus presentes 
en la computadora infectada, así como a virus como el Nimda o el CodeRed, si 
alguno de ellos estuviera activo en esa computadora. 
 
El gusano puede deshabilitar algunos procesos que se están corriendo en la 
computadora infectada, y en ocasiones borra los archivos asociados a estos 
procesos, por lo general pertenecientes a algunos antivirus: 
 
 
_AVP32_AVPCC  
NOD32  
NPSSVC  
NRESQ32  
NSCHED32  
NSCHEDNT  
NSPLUGIN  
NAV  
NAVAPSVC  
NAVAPW32  
NAVLU32  
NAVRUNR  
NAVW32  
_AVPM  
ALERTSVC  
AMON  
AVP32  
AVPCC  
AVPM  
N32SCANW  
NAVWNT  
ANTIVIR  
AVPUPD  
AVGCTRL  
AVWIN95  
SCAN32  
VSHWIN32  
F-STOPW  
F-PROT95  
ACKWIN32  
VETTRAY  
VET95  
SWEEP95  
PCCWIN98  
IOMON98  
AVPTC  
AVE32  
AVCONSOL  
FP-WIN  
DVP95  
F-AGNT95  
CLAW95  
NVC95  
*SCAN* (cualquier caracter en el lugar de los asteriscos) 
*VIRUS* (cualquier caracter en el lugar de los asteriscos) 
LOCKDOWN2000  
Norton  
Mcafee  
Antivir  
TASKMGR  
 
 
El gusano busca y borra también cualquier coincidencia en la lista anterior, 
que sea encontrada en la siguiente clave del registro (esto evita que el 
producto borrado se intente cargar en el próximo reinicio de Windows): 
 
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
 
 
También borra algunos datos de prueba de integridad generados por algunos de 
esos productos:  
 
 
ANTI-VIR.DAT 
CHKLIST.DAT 
CHKLIST.MS 
CHKLIST.CPS 
CHKLIST.TAV 
IVB.NTZ 
SMARTCHK.MS 
SMARTCHK.CPS 
AVGQT.DAT 
AGUARD.DAT  
 
 
El gusano busca luego en la libreta de direcciones de Windows, la base de 
datos del ICQ y en archivos locales, direcciones electrónicas a las cuáles 
enviarse, consigo mismo como adjunto. 
 
Contiene sus propias rutinas de servidor SMTP, e intenta utilizar algunos 
servidores prestablecidos en su código para el envío. 
 
La línea de asunto, el cuerpo del mensaje y el nombre del archivo adjunto 
son seleccionados al azar. 
 
La dirección del remitente también es seleccionada al azar, usándose las 
mismas direcciones que el gusano busca en la máquina infectada. Eso puede 
hacer que cualquiera parezca estar enviando ese mensaje, en ocasiones hasta 
uno mismo es capaz de recibir un mensaje que parece provenir de su propia 
máquina, cuando ello no es así. 
 
El gusano busca direcciones de correo en archivos con las siguientes 
extensiones:  
 
 
.exe 
.scr 
.pif 
.bat 
.txt 
.htm 
.html 
.wab 
.asp 
.doc 
.rtf 
.xls 
.jpg 
.cpp 
.pas 
.mpg 
.mpeg 
.bak 
.mp3 
.pdf  
 
 
El mensaje que usa el gusano para propagarse, esta compuesto con las 
siguientes partes seleccionadas al azar: 
 
El asunto puede tener una de estas formas: 
 
 
Undeliverable mail--"[Palabra al azar]" 
Returned mail--"[Palabra al azar]" 
a [Palabra al azar] [Palabra al azar] game 
a [Palabra al azar] [Palabra al azar] tool 
a [Palabra al azar] [Palabra al azar] website 
a [Palabra al azar] [Palabra al azar] patch 
[Palabra al azar] removal tools 
how are you 
let's be friends 
darling 
so cool a flash,enjoy it 
your password 
honey 
some questions 
please try again 
welcome to my hometown 
the Garden of Eden 
introduction on ADSL 
meeting notice 
questionnaire 
congratulations 
sos! 
japanese girl VS playboy 
look,my beautiful girl friend 
eager to see you 
spice girls' vocal concert 
japanese lass' sexy pictures 
 
 
La [Palabra al azar] puede ser una de las siguientes: 
 
 
new 
funny 
nice 
humour 
excite 
good 
powful 
WinXP 
IE 6.0 
W32.Elkern 
W32.Klez.E 
Symantec 
Mcafee 
F-Secure 
Sophos 
Trendmicro 
Kaspersky  
 
 
El texto del mensaje, es creado también al azar. 
 
Un ejemplo:  
 
 
Asunto: Worm Klez.E immunity 
 
Texto: 
Klez.E is the most common world-wide spreading worm. 
It's very dangerous by corrupting your files. 
Because of its very smart stealth and anti-anti-virus technic,most common AV 
software can't detect or clean it. 
We developed this free immunity tool to defeat the malicious virus. 
You only need to run this tool once,and then Klez will never come into your 
PC. 
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV 
monitor maybe cry when you run it. 
If so,Ignore the warning,and select 'continue'. 
If you have any question,please mail to me. 
 
 
Note en este caso, que el gusano intenta hacer creer que el propio virus es 
una cura para el Klez. ¡NO ABRA JAMAS ARCHIVOS QUE USTED NO PIDIO!... aunque 
sean supuestas curas de este virus. 
 
Klez.H también puede infectar ejecutables creando una copia oculta del 
archivo original, y luego sobrescribiendo el archivo original por una copia 
del propio gusano. 
 
La copia del archivo original está encriptada, pero no contiene código 
malicioso alguno, estando limpia del virus. 
 
El nombre del archivo oculto es el mismo del archivo original, pero con una 
extensión diferente, seleccionada al azar. 
 
El virus W32/Elkern.D 
 
El gusano libera un archivo con nombre al azar, generalmente en la carpeta 
C:\Program Files (aún en la versión en español de Windows), de unos 10 Kb de 
tamaño, y que se trata del virus W32/Elkern (en una nueva variante). Este 
virus es capaz de infectar archivos locales y en unidades de red con 
carpetas compartidas. También deshabilita la protección de los archivos, 
infectando al propio EXPLORER.EXE en memoria (por ello el procedimiento de 
limpieza debe hacerse en Modo a prueba de fallos). 
 
El siguiente texto está presente en el código del virus, pero el mismo no es 
mostrado:  
 
 
Win32 Klez V2.01 & Win32 Foroux V1.0  
Copyright 2002,made in Asia  
About Klez V2.01:  
1,Main mission is to release the new baby PE virus,Win32 Foroux 
2,No significant change.No bug fixed.No any payload. About Win32 Foroux (plz 
keep the name,thanx)  
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP  
2,With very interesting feature.Check it! 
3,No any payload.No any optimization  
4,Not bug free,because of a hurry work.No more than three weeks from having 
such idea to accomplishing coding and testing 
 
 
Se sugiere proceder con cuidado al recibir correo no solicitado, y 
actualizar el software usado para navegar y bajar correo. 
 
Los parches que evitan la ejecución automática de este virus simplemente por 
ver un mensaje infectado pueden ser descargados de este enlace: 
 
 
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 
 
 
 
Algunas herramientas que limpian el Klez (todas las versiones) de un sistema 
infectado: 
 
Ver 
Guía rápida para limpiar un sistema infectado con el Klez.H 
http://www.vsantivirus.com/faq-klez.htm 
 
 
CLRAV de Kaspersky Labs 
Herramienta para limpiar el Klez 
 
Symantec (quita el Klez y el W32/ElKern) - Actualizado 20/abr/02 
http://securityresponse.symantec.com/avcenter/FixKlez.com 
 
Trend Micro (quita el Klez y el W32/ElKern) - Actualizado 20/abr/02 
http://www.antivirus.com/vinfo/security/fix_worm_klez_3.11.zip 
 
 
 
Eliminación manual del Klez 
 
Para eliminar manualmente el virus de un sistema infectado, siga estos 
pasos: 
 
1. Desconecte sus computadoras de la red en el caso de que estuvieran 
conectadas a una. 
 
2. Reinicie la computadora en modo a prueba de fallos, como se indica en 
este artículo:  
 
 
VSantivirus No. 499 - 19/nov/01 
Cómo iniciar su computadora en Modo a prueba de fallos. 
http://www.vsantivirus.com/faq-modo-fallo.htm 
 
 
3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter. 
 
4. Borre cualquiera de las siguiente claves encontradas en la siguiente 
rama:  
 
 
HKEY_LOCAL_MACHINE 
\SOFTWARE 
\Microsoft 
\Windows 
\CurrentVersion 
\run  
 
 
5. Pinche en la carpeta "Run" y borre en la ventana de la derecha, cualquier 
entrada con estas referencias: 
 
 
krn132 
wqk 
WinSvc 
Wink[caracteres al azar] 
 
 
En Windows NT/2000  
 
 
HKEY_LOCAL_MACHINE 
\SYSTEM 
\CurrentControlSet 
\Services  
 
 
Pinche en la carpeta "Services" y busque y borre estas referencias en la 
ventana de la derecha: 
 
 
KernelSvc 
Krn132 
Wink[caracteres al azar] 
 
 
En Windows 2000, borre lo que aparezca dentro de la ventana "AppInit_DLLs" 
 
 
HKEY_LOCAL_MACHINE 
\SOFTWARE 
\Microsoft 
\Windows NT 
\CurrentVersion 
\Windows 
\AppInit_DLLs  
 
 
En todos los sistemas: 
 
 
HKEY_LOCAL_MACHINE 
\SYSTEM 
\CurrentControlSet 
\Services  
 
 
Pinche en la carpeta "Services" y busque y borre las siguientes referencias 
en la ventana de la derecha:  
 
 
KernelSvc 
Krn132 
Wink[caracteres al azar] 
 
 
6. Borre estos archivos de su PC: 
 
 
C:\Windows\System\krn132.exe 
C:\Windows\System\winsvc.exe 
C:\Windows\System\wink[caracteres al azar].exe 
 
 
También borre en Windows 95/98/ME estos archivos: 
 
 
C:\Windows\System\wqk.exe 
 
 
Y en Windows 2000 borre estos archivos: 
 
 
C:\WinNT\System32\wqk.dll 
 
 
7. Reinicie su computadora y ejecute uno o más antivirus al día. Se sugiere 
utilizar F-Prot ejecutándolo desde un disquete como se explica aquí: 
 
 
Vea: Cómo ejecutar F-PROT en un disquete 
 
 
8. Reitere estos pasos en todas las computadoras en red, antes de volver a 
conectarlas. 
 
 
 
Referencias: 
 
Guía rápida para limpiar un sistema infectado con el Klez.H 
http://www.vsantivirus.com/faq-klez.htm 
 
El virus que destruyó nuestra credibilidad 
http://www.vsantivirus.com/klez-credibilidad.htm 
 
Klez.H hace públicos nuestros secretos más íntimos 
http://www.vsantivirus.com/20-04-02a.htm 
 
 
(c) Video Soft - http://www.videosoft.net.uy 
(c) VSAntivirus - http://www.vsantivirus.com 
      
 
 
 
Copyright 1996-2002 Video Soft BBS 
 
 
 
 
 
_______________________________________________________________________ 
Visita nuestro patrocinador: 
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~ 
               ¡¡NO TE PIERDAS ESTA OFERTA!! 
          ¡¡ TE DAMOS 20 EUROS DE GASOLINA GRATIS !! 
               POR CADA PRODUCTO QUE COMPRES ... 
      Discmans, equipos de música, cargadores de móviles, 
      Manos libres para móviles, equipos Home Cinema, etc. 
           Con la garantía de calidad de ELTA. 
    Haz clic aqui -> http://elistas.net/ml/64/ 
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~