Worm/Klez, TROJ_KLEZ.A, W32.Klez, KLEZA.A, W32/Klez-mm, Klaz, W32/Klez@MM, W32.Poverty.A@mm

Klez es un muy sofisticado gusano, escrito en MS Visual C++, reportado el 27 de Octubre del 2001, de gran difusión masiva debido a que se propaga haciendo uso de diferentes remitentes elegidos al azar, con diversos temas aleatorios y el archivo anexado es un PE (Portable Ejecutable) de 57,345 bytes de extensión y cuyo nombre también es aleatorio.

Este gusano contiene, en formato comprimido dentro de su archivo, un nocivo virus polimórfico llamado Elkern, el cual libera en los equipos previamente infectados.

En muchos sistemas, el gusano puede infectar con tan sólo pre-visualizar el mensaje. Para este propósito hace uso de una vulnerabilidad MIME (Multipurpose Internet Mail Extensions) de algunas versiones de Microsoft Outlook, Outlook Express e Internet Explorer que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor del mensaje lo active. El parche de seguridad para esta vulnerabilidad puede ser descargado del siguiente URL de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Klez infecta los sistemas operativos Microsoft Windows 95/98/NT/2000/Me/XP 95/98/NT/2000/Me/XP, incluyendo los servidores NT/2000.

El gusano es enviado en mensajes de correo, desde diversas direcciones que son elegidas al azar, haciendo uso de dominios tales como yahoo.com, hotmail.com, sina.com o algún otro seleccionado de la siguiente lista, incluida en el código viral del gusano:

broused@online.sh.cn
feiyiming@citiz.net
flag@21cn.com
jiemin@citiz.net
king@21cn.com
kqlbaby@21cn.com
kqlbaby@21cn.com
lbhuangsy@21cn.com
lin_yuezhi@citiz.net
lllwww@online.sh.cn
luxianchu@21cn.com
sarge2010@21cn.com
super@21cn.com
tomyjiang18@21cn.com
zbzwy@21cn.com
zhangcheng77@online.sh.cn
zhangcheng77@online.sh.cn

Los asuntos también son variados, seleccionados en forma aleatoria de la siguiente lista, incluida en el código del gusano:

A free hot porn site
Can you help me?
Congratulations!!!
Don't cry
Free XXX Pictures
Hello
Hi
How about have dinner with me together?
How are you?
Look at the pretty
Never kiss a stranger
Some advice on your shortcoming
We want peace
Where will you go?
Why don't you reply to me?

El cuerpo del mensaje es un archivo HTML oculto y está dirigido a los desarrolladores de antivirus.



Al infectar un sistema, el gusano crea dos archivos con atributo oculto (+H) en la carpeta C:\Windows\System:

Krn132.exe, que es una copia del gusano y Wqk.exe  que es un virus comprimido conocido como W32/Elkern. 

Luego modifica la siguiente llave en el registro de Windows, para poder ser ejecutado al reiniciar el sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Krn132 = C:\Windows\System\krn132.exe

Una vez ejecutado el gusano, el mismo que contiene en forma comprimida, el virus W95/Elkern.cav, éste es descomprimido, liberado y copiado en la carpeta de Windows, con el nombre WQK.EXE y crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
\WQKC:\Windows\Systems\WQK.EXE

El gusano se auto-copia al directorio raíz de todas las unidades lógicas, locales y de red, con un nombre de archivo aleatorio de doble extensión. Por ejemplo: Reporte_Actas.txt.exe.

W95/Elkern.cav, W32.ElKern.3326, Elkern, PE_ELKERN.A

Elkern es virus destructivo infector de redes y fue reportado el  26 de Octubre de 2001, un día antes de que se descubriese que era transportado por un gusano. Este virus, se encuentra comprimido dentro del gusano Klez y es liberado y copiado dentro del sistema infectado. Elkern convive con el gusano Klez pero sin ser dependiente del mismo.

W32/Elkern es un infector de archivos del tipo PE (Portable Executable) con capacidades de polimorfismo y se propaga rápidamente en redes de computadoras. Usa el método de infección por "cavidad", vale decir que no altera el tamaño del archivo original, haciendo uso de las cavidades o espacios vacios del archivo.

El tamaño de Elkern es de 3326 bytes y no esta comprimido.

Un error en su código de programación sólo le permite infectar los sistemas operativos Windows 98 y Millennium.

La estructura del virus está conformado por 4 partes principales:

-------------------------------------
Desencriptor inicial
-------------------------------------
Código de inicio
-------------------------------------
Tabla de funciones API
-------------------------------------
código del virus
-------------------------------------

Una vez ejecutado, se auto-copia en el directorio del sistema, con atributo oculto (+H) bajo el nombre WQK.EXE:

C:\Windows\System\WQK.EXE

Luego crea la siguiente llave de registro, para ejecutarse cada vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run]
WQK = C:\Windows\System\WQK.EXE

En MS Windows NT/2000, el virus asume que el archivo WQK.DLL existe en el directorio del sistema C:\Windows\System32 y crea esta llave en el registro:

[HKEY_LOCAL_MACHINE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs = WQK.DLL

Sin embargo, el virus no funcionará en Windows NT/2000 y se colgará el sistema.

Luego de la infección, el virus inicia la búsqueda de archivos ejecutables en las unidades lógicas locales y de red, manteniendo la hora y atributos de los mismos. Sólo infecta los archivos del tipo *.EXE y *.SCR.

El payload final del virus se activa el 13 de Marzo y el 13 de Septiembre. En esas dos fechas el virus sobrescribe el contenido de los archivos con ceros, haciéndolos irrecuperables, a menos que se cuente con una copia de respaldo.

PER ANTIVIRUS® versión 7.1 con registro de virus al 27 de Octubre del 2001 detecta y elimina eficientemente el gusano Klez así como también a su virus comprimido Elkern.