Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Encyclopedia
GetVirusCard
True
0
Efectos
Klys realiza las siguientes acciones:
- Impide el acceso a los recursos compartidos de la red, ya que descomparte la gran mayoría de ellos, entre los cuales se encuentran admin$ y print$, con lo que las aplicaciones que dependan de tales recursos dejarán de funcionar.
- Abre varios puertos, permitiendo el acceso remoto al ordenador afectado, de modo que puede realizar en el mismo acciones que comprometan la confidencialidad del usuario o dificulten su trabajo.
- Introduce el gusano Cult.
- Permanece residente en memoria.
Metodo de Infección
Klys crea los siguientes archivos en la subcarpeta \SYS DATA\SYS FOLDERS del directorio de sistema de Windows:
- KLSYS.EXE, que es una copia del gusano. Se trata de un cliente de IRC que se ejecuta de manera oculta. Se utiliza para propagarse a través del IRC, empleando NEXE.CPL como archivo de configuración.
- CLS.BAT. Este archivo es utilizado para descompartir la gran mayoría de los recursos compartidos, entre ellos admin$ y print$.
- TSYSL.BAT, que trata de conectarse a otra máquina compartida, empleando para ello varias combinaciones típicas de nombre de usuario y contraseña. Si lo consigue, envía una copia de sí mismo y se ejecuta en ella.
- PLUG.DLL. Este archivo es un script de IRC, empleado para propagarse. Este archivo se encarga de ejecutar los archivos CLS.BAT y TSYSL.BAT.
- NEXE.CPL, que es un script de configuración del cliente de IRC. Se encarga de agregar el archivo PLUG.DLL.
- WINSE.EXE y PSC32.EXE. Estos archivos son aplicaciones empleadas por el gusano.
- RANO.EXE, que pertenece al gusano Cult.
Klys crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Arnko = “%sysdir%\ sys data\ sys folders\ klsys.exe”
Mediante esta entrada, Klys consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ mIRC
UninstallString = “%sysdir%\ sys data\ sys folders\ klsys.exe” -uninstall
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Klys muestra el icono de desinstalación del mismo, pero si se trata de desinstalar, en realidad, éste se ejecuta a sí mismo.
Método de Propagación
Klys se propaga a través de los canales de IRC y de las unidades de red compartidas.
1.- Propagación a través de los canales de IRC.
Klys realiza el siguiente proceso:
- Espera a que el usuario del ordenador afectado se conecte a uno de estos canales.
- Cuando lo hace, envía una copia del archivo KLSYS.EXE a todos los usuarios que se encuentren en el mismo canal que el usuario del ordenador afectado.
- Si esos otros usuarios ejecutan el archivo, quedarán afectados.
2- Propagación a través de unidades de red compartidas.
Klys realiza el siguiente proceso:
- Trata de conectarse a otra unidad de red compartida conectada al ordenador afectado, empleando para ello varias combinaciones típicas de usuario y contraseña:
admin, 12345
admin, admin
administartor, secret
administrator, [vacío]
administrator, 123
administrator, 12345
administrator, 12345
administrator, 123456
administrator, 54321
administrator, 654321
administrator, a
administrator, a bc
administrator, abc123
administrator, admin
administrator, admin123
administrator, Administrator
administrator, asdf
administrator, changeme
administrator, pass
administrator, password
administrator, password123
administrator, qwerty
administrator, qwertyuiop
administrator, red123
administrator, temp
administrator, temp123
administrator, test
administrator, test123
administrator, xxyyzz
root, root
student, student
teacher, teacher
test, test
user, [vacío]
user, user - Si consigue conectarse, envía una copia de sí mismo y se ejecuta en la máquina remota.
Otros Detalles
Klys tiene un tamaño de 734368 Bytes.
>>