Win32/Klez.E, W32.Klez.E@MM, I-Worm.Klez.E, TROJ_KLEZ.E

El 17 de Enero del 2002, se reportó el gusano Klez.E, variante del gusano Klez, que además de la peligrosidad de su antecesor, presenta nuevas y peculiares características, tales como la de deshabilitar la mayoría de software Antivirus, Firewalls, software se Seguridad y aplicaciones del propio Sistema Operativo MS Windows. 

Infecta archivos con extensión .EXE, encriptándolos con rutinas propias, para dificultar su detección. Se propaga a través de unidades compartidas de red y posee novedosas rutinas de propagación, mucho más eficientes.

Los nuevos y nocivos payloads del gusano Klez.E son:

• Los archivos anexados utilizados para difundirse masivamente ahora tienen doble extensión, para provocar la confusión en el usuario. Estas extensiones pueden ser una combinación de .EXE o .PIF.    
• No sólo se auto-envía a todos los destinatarios de la libreta de direcciones de Windows, sino que además ha extendido su propagación  auto-enviándose a la vez, a todas las direcciones de correo encontradas en la base de datos de usuario del canal de Chat en Internet: ICQ (I Seek You), si éste estuviese instalado en el sistema, para lo cual utiliza sus propias rutinas SMTP (Simple Mail Transfer Protocol).
• Cuando Klez.E es ejecutado se auto-instala en la carpeta C:\Windows\System con el nombre WINKxxxx.EXE ("xxxx" ) el cual es formado con dos o tres letras, seleccionadas al azar por el gusano, conformando los 4 caracteres previos a la extensión .EXE. Adicionalmente, con el objeto de activar su código viral la próxima vez que se inicie Windows, modificará la siguiente llave del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Winkxxxx.exe = C:\Windows\System\Winkxxxx.exe

• Infecta archivos con extensión .EXE encriptándolos para dificultar su detección a través de los software antivirus, a excepción de los siguientes archivos a los cuales no infecta:

EXPLORER
CMMGR
MSIMN
ICWCONN
WINZIP

• El gusano posee capacidad de propagación a través de unidades locales y de red, auto-copiándose dos veces, a las unidades remotas compartidas. La primera copia es un archivo ejecutable con nombre elegido aleatoriamente, con doble extensión y la segunda copia es un archivo comprimido con extensión .RAR que también puede tener a su vez una o dos extensiones. El archivo .RAR contiene el ejecutable del gusano y su nombre es elegido aleatoriamente de la siguiente lista:

setup
install
demo
snoopy
picacu
kitty
play
rock

La primera extensión del archivo .RAR es elegida en forma aleatoria a partir de las siguientes extensiones:

.txt
.htm
.html
.wab
.doc
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3

La segunda extensión es elegida de la siguiente lista:

.exe
.scr
.pif
.bat

• Klez.E tiene la peligrosa característica de deshabilitar los procesos de la mayoría de software Antivirus, Firewall, aplicaciones de seguridad y gusanos que hayan previamente infectado el sistema, buscando para ello los siguientes textos en cada proceso que encuentre:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Además de ello, finaliza los procesos que tengan los siguientes nombres: 

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

• El gusano afecta además la integridad de las bases de datos de registro de virus, buscando para ello los siguientes archivos pertenecientes a conocidos antivirus:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

• Libera una nueva variante del virus Elkern denominada Elkern.B.

Dentro del cuerpo de su código viral contiene el siguiente texto, el cual nunca es mostrado:

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don't accuse me.Please accuse the unfair sh*t world

Los mensajes infectados enviados se generan por medio de complicadas reglas, que le posibilitan la creación de una gran cantidad de mensajes diferentes, que dificultan su detección a simple vista. Además, puede crear frases como:

The attachment is a very dangerous virus that spread trough e-mail.
The file is a special dangerous virus that can infect on Win98/Me/2000/XP.

Alrededor de fechas especiales, puede enviar mensajes acordes a ellas, como:

Happy Christmas
Happy New Year

Win32/Elkern.B, PE_ELKERN.B

Elkern.B es una nueva variante del destructivo virus infector de redes Elkern. Ha sido reportado con fecha 17 de Enero del 2002 junto al gusano Klez.E.

En comparación con su antecesor, no ha sufrido cambio alguno, conservando aún ciertos errores de programación que lo limitan a funcionar solo bajo los Sistemas Operativos Windows 98 y Windows 2000 provocando que el sistema se cuelgue si actúa en Windows 95/Me y NT.

PER ANTIVIRUS® versión 7.3 con registro de virus al 18 de Enero del 2002 detecta y elimina eficientemente estos gusanos y sus variantes.