Klez.I
PeligrosidadDañoPropagación

Efectos 

Klez.I infecta y se activa, produciendo los siguientes efectos:

• Introduce un virus llamado Elkern.C en el ordenador infectado.
• Envía por correo electrónico un archivo, escogido al azar en el ordenador afectado, a terceras personas. Dicho archivo puede tener cualquiera de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
• Busca los siguientes procesos en memoria (si los encuentra, finaliza su ejecución): _AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir, TASKMGR.
• Desactiva la protección permanente del antivirus, al eliminar la siguiente entrada en el Registro de Windows:
  HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
  Apvxdwin
• Klez.I borra archivos pertenecientes a programas antivirus y los que permiten comprobar la integridad de otros archivos. Concretamente: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT y AGUARD.DAT. APVXDWIN.EXE y AVENGINE.EXE en los ordenadores donde se encuentre instalado Panda Antivirus.

Metodo de Infección 

Klez.I produce su infección, automáticamente, de varias formas:

• Al visualizar, a través de la Vista previa de Outlook, el mensaje en el que llega el gusano. Para conseguirlo, Klez.I se sirve de una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). El código que permite a Klez.I aprovechar esta vulnerabilidad es detectado por Panda Software como Exploit/Iframe.
• Al abrir el mensaje en el que llega.
• Al abrir o ejecutar el archivo que incluye en el mensaje.

El proceso de infección de Klez.I sigue este patrón:

Klez.I crea los siguientes archivos:

• WINK*.EXE, en el directorio de sistema de Windows, que es la copia del gusano Klez.I.
• Un archivo de 10240 Bytes en el directorio Archivos de programa, con nombre aleatorio (tres caracteres alfabéticos y cuatro numéricos) y extensión EXE. Este archivo es detectado como un virus de nombre Elkern.C, con formato de archivo PE (Portable Ejecutable) y 4500 Bytes de tamaño.
  
  Elkern.C busca áreas vacías dentro de los archivos a infectar. Una vez localizadas, las rellena con su código vírico sin afectar al tamaño del archivo. Esta técnica es conocida como cavity y dificulta su detección.
  El virus Elkern.C infecta los archivos que encuentra en todas las unidades de disco, de la A: a la Z:.

Klez.I crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Wink* = Wink*.exe
  Mediante esta entrada, Klez.I consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Klez.I utiliza principalmente el correo electrónico para propagarse. Su patrón de actuación es:

• Llega en un mensaje de correo electrónico de características variables, escrito en inglés:
  
  Remitente:
  Klez.I falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  
  Versión 1:
  
  Asunto:
  A powful tool
  
  Contenido:
  This is a special powful tool
  I expect you would enjoy it
  
  Archivo adjunto: contiene dos:
  Uno de ellos tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
  El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  
  
  Versión 2:
  Asunto:
  Worm Klez.E immunity
  
  Contenido:
  Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
  Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
  We developed this free immunity tool to defeat the malicious virus.
  You only need to run this tool once,and then Klez will never come into your PC.
  NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
  If so,Ignore the warning,and select 'continue'.
  If you have any question, please mail to me
  
  Archivo adjunto: contiene dos.
  Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
  El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  
  Versión 3:
  
  Asunto más frecuente:
  A funny website
  Otros asuntos posibles:
  !supportEmptyParas
  How are you
  Sito utilizza frames!!
  Fw:introduction on ADSL
  Look,my beautiful girl friend
  Reset Display
  205 MB of free hard disk space, but may
  let's be friends
  darling
  so cool a flash,enjoy it
  your password
  honey
  some questions
  please try again
  welcome to my hometown
  the Garden of Eden
  meeting notice
  questionnaire
  congratulations
  sos!
  japanese girl VS playboy
  eager to see you
  spice girls' vocal concert
  japanese lass' sexy pictures
  En ocasiones, los asuntos pueden estar formados del siguiente modo:
  Re: Fw: Undeliverable mail--"%s"
  Returned mail--"%s"
  a %s %s game
  a %s %s tool
  a %s %s website
  a %s %s patch
  %s removal tools
  El símbolo %s representa una palabra escogida al azar entre: new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32.Elkern, W32.Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky.
  En otros casos, el asunto está compuesto por frases. En ellas, el símbolo %s corresponde a una de estas palabras: enjoy, like, wish, hope o expect.
  Como ejemplos podemos citar:
  I %s you would %s it.
  The following mail can't be sent to %s:
  The attachment The file is the original mail give you the %s
  is a %s dangerous virus that %s can infect on Win98/Me/2000/XP.
  spread through email.
  very special
  http:// www. .com
  For more information,please visit
  This is
  Christmas
  New year
  Saint Valentine's Day
  Allhallowmas
  April Fools'Day
  Lady Day
  Assumption
  Candlemas
  All Souls'Day
  Epiphany
  Happy
  Have a
  
  Contenido:
  This is a funny website
  I hope you would like it
  
  Archivo adjunto: contiene dos:
  Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
  El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  
• Se activa al abrir el mensaje que lo contiene o al visualizarlo mediante la Vista previa de Outlook. Para esto, utiliza una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). Microsoft ya ha puesto a disposición de sus usuarios la solución a este problema.
• Klez.I envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones, utilizando una conexión SMTP.

Otros Detalles  

Klez.I está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 85 KBytes.