Efectos 

Klys realiza las siguientes acciones:

• Impide el acceso a los recursos compartidos de la red, ya que descomparte la gran mayoría de ellos, entre los cuales se encuentran admin$ y print$, con lo que las aplicaciones que dependan de tales recursos dejarán de funcionar.
• Abre varios puertos, permitiendo el acceso remoto al ordenador afectado, de modo que puede realizar en el mismo acciones que comprometan la confidencialidad del usuario o dificulten su trabajo.
• Introduce el gusano Cult.
• Permanece residente en memoria.

Metodo de Infección 

Klys crea los siguientes archivos en la subcarpeta \SYS DATA\SYS FOLDERS del directorio de sistema de Windows:

• KLSYS.EXE, que es una copia del gusano. Se trata de un cliente de IRC que se ejecuta de manera oculta. Se utiliza para propagarse a través del IRC, empleando NEXE.CPL como archivo de configuración.
• CLS.BAT. Este archivo es utilizado para descompartir la gran mayoría de los recursos compartidos, entre ellos admin$ y print$.
• TSYSL.BAT, que trata de conectarse a otra máquina compartida, empleando para ello varias combinaciones típicas de nombre de usuario y contraseña. Si lo consigue, envía una copia de sí mismo y se ejecuta en ella.
• PLUG.DLL. Este archivo es un script de IRC, empleado para propagarse. Este archivo se encarga de ejecutar los archivos CLS.BAT y TSYSL.BAT.
• NEXE.CPL, que es un script de configuración del cliente de IRC. Se encarga de agregar el archivo PLUG.DLL.

• WINSE.EXE y PSC32.EXE. Estos archivos son aplicaciones empleadas por el gusano.
• RANO.EXE, que pertenece al gusano Cult.

Klys crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Arnko = “%sysdir%\ sys data\ sys folders\ klsys.exe”
  Mediante esta entrada, Klys consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ mIRC
  UninstallString = “%sysdir%\ sys data\ sys folders\ klsys.exe” -uninstall
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Klys muestra el icono de desinstalación del mismo, pero si se trata de desinstalar, en realidad, éste se ejecuta a sí mismo.

Método de Propagación 

Klys se propaga a través de los canales de IRC y de las unidades de red compartidas.

1.- Propagación a través de los canales de IRC.

Klys realiza el siguiente proceso:

• Espera a que el usuario del ordenador afectado se conecte a uno de estos canales.
• Cuando lo hace, envía una copia del archivo KLSYS.EXE a todos los usuarios que se encuentren en el mismo canal que el usuario del ordenador afectado.
• Si esos otros usuarios ejecutan el archivo, quedarán afectados.

2- Propagación a través de unidades de red compartidas.

Klys realiza el siguiente proceso:

• Trata de conectarse a otra unidad de red compartida conectada al ordenador afectado, empleando para ello varias combinaciones típicas de usuario y contraseña:
  admin, 12345
  admin, admin
  administartor, secret
  administrator, [vacío]
  administrator, 123
  administrator, 12345
  administrator, 12345
  administrator, 123456
  administrator, 54321
  administrator, 654321
  administrator, a
  administrator, a bc
  administrator, abc123
  administrator, admin
  administrator, admin123
  administrator, Administrator
  administrator, asdf
  administrator, changeme
  administrator, pass
  administrator, password
  administrator, password123
  administrator, qwerty
  administrator, qwertyuiop
  administrator, red123
  administrator, temp
  administrator, temp123
  administrator, test
  administrator, test123
  administrator, xxyyzz
  root, root
  student, student
  teacher, teacher
  test, test
  user, [vacío]
  user, user
• Si consigue conectarse, envía una copia de sí mismo y se ejecuta en la máquina remota.

Otros Detalles  

Klys tiene un tamaño de 734368 Bytes.