Hello!

You’re about to visit our web page in Español
Would you like to continue?

Yes, I want to visit the web page in Español No, I want to visit the web page in

If this is not what you’re looking for,

Visit our Welcome Page!

Panda Security

¡Feliz Navidad!

Esta oferta termina en:

0 0

Horas

0 0

Minutos

0 0

Segundos

-60%

Oferta Especial: Renueva con un 60% de descuento

¿Has olvidado tu identificador de cliente? Haz clic aquí

-60%
Panda Security

¡Feliz Navidad!

-50% en toda la gama Panda Dome

-50%
Comprar
Mi cuenta

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Klez.I

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

De un vistazo

Nombre común:Klez.I
Nombre técnico:W32/Klez.I
Peligrosidad:Media
Alias:W32/Klez.gen@MM,, W32/Klez.G@mm, W32/Klez.K-mm, WORM_KLEZ.G, W32/Klez.H
Tipo:Gusano
Efectos:  

Sustrae y reenvía datos confidenciales, introduce el virus Elkern.C, finaliza procesos y borra archivos.

Plataformas que infecta:

Windows XP/2000/NT/ME/98/95

Fecha de detección:17/04/2002
Detección actualizada:31/10/2007
EstadísticasNo
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent
Familia:KLEZ

Descripción Breve 

    

Klez.I es un gusano que llega en un archivo incluido dentro de un mensaje de correo electrónico escrito en inglés, de asunto muy variable.

Es muy fácil infectarse con él, ya que se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los archivos de los mensajes de correo.

Klez.I es muy peligroso porque:

  • Se propaga automáticamente y muy rápido a todos los contactos que encuentra en la Libreta de direcciones de Outlook.
  • Emplea depuradas técnicas de camuflaje, como el sistemático cambio del remitente y del asunto de los mensajes que reenvía.
  • Atenta contra la confidencialidad de los datos del usuario enviando, indiscriminadamente a terceras personas, archivos que escoge al azar del ordenador infectado.
  • Borra determinados archivos.
  • Introduce el virus Elkern.C en el ordenador afectado.

Síntomas Visibles

    

Klez.I es difícil de reconocer a simple vista, ya que llega oculto en un mensaje cuyas características varían en cada ocasión. Sin embargo, estos son los asuntos más habituales:

  • A powful tool
  • Worm Klez.E immunity
  • A funny website

Klez.I destaca por su capacidad para variar los asuntos de los mensajes en los que se envía. Esto dificulta considerablemente su identificación, cuando llega al ordenador. En concreto, para generar los textos de los asuntos, utiliza las siguientes fuentes:

  • Palabras incluidas en su código de infección.
  • Textos incluidos en los archivos almacenados dentro del ordenador afectado, desde el cual proviene.

Para obtener más información, consulte el apartado Método de propagación.

Detalles técnicos

Efectos

Klez.I infecta y se activa, produciendo los siguientes efectos:

  • Introduce un virus llamado Elkern.C en el ordenador infectado.
  • Envía por correo electrónico un archivo, escogido al azar en el ordenador afectado, a terceras personas. Dicho archivo puede tener cualquiera de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  • Busca los siguientes procesos en memoria (si los encuentra, finaliza su ejecución): _AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir, TASKMGR.
  • Desactiva la protección permanente del antivirus, al eliminar la siguiente entrada en el Registro de Windows:
    HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
    Apvxdwin
  • Klez.I borra archivos pertenecientes a programas antivirus y los que permiten comprobar la integridad de otros archivos. Concretamente: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT y AGUARD.DAT. APVXDWIN.EXE y AVENGINE.EXE en los ordenadores donde se encuentre instalado Panda Antivirus.

Metodo de Infección

Klez.I produce su infección, automáticamente, de varias formas:

  • Al visualizar, a través de la Vista previa de Outlook, el mensaje en el que llega el gusano. Para conseguirlo, Klez.I se sirve de una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). El código que permite a Klez.I aprovechar esta vulnerabilidad es detectado por Panda Software como Exploit/Iframe.
  • Al abrir el mensaje en el que llega.
  • Al abrir o ejecutar el archivo que incluye en el mensaje.

El proceso de infección de Klez.I sigue este patrón:

Klez.I crea los siguientes archivos:

  • WINK*.EXE, en el directorio de sistema de Windows, que es la copia del gusano Klez.I.
  • Un archivo de 10240 Bytes en el directorio Archivos de programa, con nombre aleatorio (tres caracteres alfabéticos y cuatro numéricos) y extensión EXE. Este archivo es detectado como un virus de nombre Elkern.C, con formato de archivo PE (Portable Ejecutable) y 4500 Bytes de tamaño.

    Elkern.C busca áreas vacías dentro de los archivos a infectar. Una vez localizadas, las rellena con su código vírico sin afectar al tamaño del archivo. Esta técnica es conocida como cavity y dificulta su detección.
    El virus Elkern.C infecta los archivos que encuentra en todas las unidades de disco, de la A: a la Z:.

Klez.I crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Wink* = Wink*.exe
    Mediante esta entrada, Klez.I consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación

Klez.I utiliza principalmente el correo electrónico para propagarse. Su patrón de actuación es:

  • Llega en un mensaje de correo electrónico de características variables, escrito en inglés:

    Remitente:
    Klez.I falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.


    Versión 1:

    Asunto:
    A powful tool

    Contenido:
    This is a special powful tool
    I expect you would enjoy it

    Archivo adjunto: contiene dos:
    Uno de ellos tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
    El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.


    Versión 2:
    Asunto:
    Worm Klez.E immunity

    Contenido:
    Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
    Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
    We developed this free immunity tool to defeat the malicious virus.
    You only need to run this tool once,and then Klez will never come into your PC.
    NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
    If so,Ignore the warning,and select 'continue'.
    If you have any question, please mail to me

    Archivo adjunto: contiene dos.
    Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
    El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.

    Versión 3:

    Asunto más frecuente:
    A funny website
    Otros asuntos posibles:
    !supportEmptyParas
    How are you
    Sito utilizza frames!!
    Fw:introduction on ADSL
    Look,my beautiful girl friend
    Reset Display
    205 MB of free hard disk space, but may
    let's be friends
    darling
    so cool a flash,enjoy it
    your password
    honey
    some questions
    please try again
    welcome to my hometown
    the Garden of Eden
    meeting notice
    questionnaire
    congratulations
    sos!
    japanese girl VS playboy
    eager to see you
    spice girls' vocal concert
    japanese lass' sexy pictures
    En ocasiones, los asuntos pueden estar formados del siguiente modo:
    Re: Fw: Undeliverable mail--"%s"
    Returned mail--"%s"
    a %s %s game
    a %s %s tool
    a %s %s website
    a %s %s patch
    %s removal tools
    El símbolo %s representa una palabra escogida al azar entre: new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32.Elkern, W32.Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky.
    En otros casos, el asunto está compuesto por frases. En ellas, el símbolo %s corresponde a una de estas palabras: enjoy, like, wish, hope o expect.
    Como ejemplos podemos citar:
    I %s you would %s it.
    The following mail can't be sent to %s:
    The attachment The file is the original mail give you the %s
    is a %s dangerous virus that %s can infect on Win98/Me/2000/XP.
    spread through email.
    very special
    http:// www. .com
    For more information,please visit
    This is
    Christmas
    New year
    Saint Valentine's Day
    Allhallowmas
    April Fools'Day
    Lady Day
    Assumption
    Candlemas
    All Souls'Day
    Epiphany
    Happy
    Have a

    Contenido:
    This is a funny website
    I hope you would like it

    Archivo adjunto: contiene dos:
    Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
    El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  • Se activa al abrir el mensaje que lo contiene o al visualizarlo mediante la Vista previa de Outlook. Para esto, utiliza una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). Microsoft ya ha puesto a disposición de sus usuarios la solución a este problema.
  • Klez.I envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones, utilizando una conexión SMTP.

Otros Detalles

Klez.I está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 85 KBytes.

>

Solución

Ver solución

Anytech logo

Llámanos las 24 horas del día y te haremos un diagnóstico gratuito

+1 (323) 395 2630

logo
Con Panda Security, parte de la familia WatchGuard, tienes lo más avanzado para proteger a tu familia y tu negocio. Panda Dome te ofrece la máxima seguridad contra virus, ransomware y espionaje informático para Windows, Mac, Android e iOS.
    Acerca de Panda
    Conócenos Opiniones Premios y Certificaciones Panda Security en el mundo Blog Security Info
    Particulares
    Gama de productos Panda Dome Página de Cliente Antivirus Online Descargas Free Antivirus Free VPN Ofertas
    Empresas - Watchguard Technologies
    Watchguard Endpoint Security Network Security Authpoint MFA Secure Wi-Fi Partners
    Visa Master Card Maestro Pay Pal Apple Pay
    Bank Transfer iDeal Klarna
    Política de privacidad Aviso legal Política de cookies Política de devolución