Hello!

You’re about to visit our web page in Español
Would you like to continue?

Yes, I want to visit the web page in Español No, I want to visit the web page in

If this is not what you’re looking for,

Visit our Welcome Page!

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Klez.I

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Klez.I infecta y se activa, produciendo los siguientes efectos:

  • Introduce un virus llamado Elkern.C en el ordenador infectado.
  • Envía por correo electrónico un archivo, escogido al azar en el ordenador afectado, a terceras personas. Dicho archivo puede tener cualquiera de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  • Busca los siguientes procesos en memoria (si los encuentra, finaliza su ejecución): _AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir, TASKMGR.
  • Desactiva la protección permanente del antivirus, al eliminar la siguiente entrada en el Registro de Windows:
    HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
    Apvxdwin
  • Klez.I borra archivos pertenecientes a programas antivirus y los que permiten comprobar la integridad de otros archivos. Concretamente: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT y AGUARD.DAT. APVXDWIN.EXE y AVENGINE.EXE en los ordenadores donde se encuentre instalado Panda Antivirus.

Metodo de Infección 

Klez.I produce su infección, automáticamente, de varias formas:

  • Al visualizar, a través de la Vista previa de Outlook, el mensaje en el que llega el gusano. Para conseguirlo, Klez.I se sirve de una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). El código que permite a Klez.I aprovechar esta vulnerabilidad es detectado por Panda Software como Exploit/Iframe.
  • Al abrir el mensaje en el que llega.
  • Al abrir o ejecutar el archivo que incluye en el mensaje.

El proceso de infección de Klez.I sigue este patrón:

Klez.I crea los siguientes archivos:

  • WINK*.EXE, en el directorio de sistema de Windows, que es la copia del gusano Klez.I.
  • Un archivo de 10240 Bytes en el directorio Archivos de programa, con nombre aleatorio (tres caracteres alfabéticos y cuatro numéricos) y extensión EXE. Este archivo es detectado como un virus de nombre Elkern.C, con formato de archivo PE (Portable Ejecutable) y 4500 Bytes de tamaño.

    Elkern.C busca áreas vacías dentro de los archivos a infectar. Una vez localizadas, las rellena con su código vírico sin afectar al tamaño del archivo. Esta técnica es conocida como cavity y dificulta su detección.
    El virus Elkern.C infecta los archivos que encuentra en todas las unidades de disco, de la A: a la Z:.

Klez.I crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Wink* = Wink*.exe
    Mediante esta entrada, Klez.I consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Klez.I utiliza principalmente el correo electrónico para propagarse. Su patrón de actuación es:

  • Llega en un mensaje de correo electrónico de características variables, escrito en inglés:

    Remitente:
    Klez.I falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.


    Versión 1:

    Asunto:
    A powful tool

    Contenido:
    This is a special powful tool
    I expect you would enjoy it

    Archivo adjunto: contiene dos:
    Uno de ellos tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
    El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.


    Versión 2:
    Asunto:
    Worm Klez.E immunity

    Contenido:
    Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
    Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
    We developed this free immunity tool to defeat the malicious virus.
    You only need to run this tool once,and then Klez will never come into your PC.
    NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
    If so,Ignore the warning,and select 'continue'.
    If you have any question, please mail to me

    Archivo adjunto: contiene dos.
    Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
    El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.

    Versión 3:

    Asunto más frecuente:
    A funny website
    Otros asuntos posibles:
    !supportEmptyParas
    How are you
    Sito utilizza frames!!
    Fw:introduction on ADSL
    Look,my beautiful girl friend
    Reset Display
    205 MB of free hard disk space, but may
    let's be friends
    darling
    so cool a flash,enjoy it
    your password
    honey
    some questions
    please try again
    welcome to my hometown
    the Garden of Eden
    meeting notice
    questionnaire
    congratulations
    sos!
    japanese girl VS playboy
    eager to see you
    spice girls' vocal concert
    japanese lass' sexy pictures
    En ocasiones, los asuntos pueden estar formados del siguiente modo:
    Re: Fw: Undeliverable mail--"%s"
    Returned mail--"%s"
    a %s %s game
    a %s %s tool
    a %s %s website
    a %s %s patch
    %s removal tools
    El símbolo %s representa una palabra escogida al azar entre: new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32.Elkern, W32.Klez.E, Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky.
    En otros casos, el asunto está compuesto por frases. En ellas, el símbolo %s corresponde a una de estas palabras: enjoy, like, wish, hope o expect.
    Como ejemplos podemos citar:
    I %s you would %s it.
    The following mail can't be sent to %s:
    The attachment The file is the original mail give you the %s
    is a %s dangerous virus that %s can infect on Win98/Me/2000/XP.
    spread through email.
    very special
    http:// www. .com
    For more information,please visit
    This is
    Christmas
    New year
    Saint Valentine's Day
    Allhallowmas
    April Fools'Day
    Lady Day
    Assumption
    Candlemas
    All Souls'Day
    Epiphany
    Happy
    Have a

    Contenido:
    This is a funny website
    I hope you would like it

    Archivo adjunto: contiene dos:
    Uno tiene alguna de estas extensiones: PIF, BAT, EXE o SCR.
    El otro, escogido al azar en el ordenador anteriormente infectado y del que proviene el correo, presenta una de las siguientes extensiones: TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 o PDF.
  • Se activa al abrir el mensaje que lo contiene o al visualizarlo mediante la Vista previa de Outlook. Para esto, utiliza una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). Microsoft ya ha puesto a disposición de sus usuarios la solución a este problema.
  • Klez.I envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones, utilizando una conexión SMTP.

Otros Detalles  

Klez.I está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 85 KBytes.

>