Worm/Klez.E - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Klez.E
Descubierto:	19/04/2002
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~80.000 Bytes

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Symantec: W32/Klez.H@MM
   • Mcafee: W32/Klez.h@MM
   • Kaspersky: Email-Worm.Win32.Klez.h
   • TrendMicro: WORM_KLEZ.H
   • F-Secure: Win32.Klez.H@mm
   • Sophos: W32/Klez-H
   • Panda: W32/Klez.I
   • Grisoft: I-Worm/Klez.H
   • Eset: Win32/Klez.J
   • Bitdefender: Win32.Klez.H@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Emplea vulnerabilidades de software
   • Roba informaciones

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\wink%serie de caracteres aleatorios de tres dígitos%.exe
   • %TEMPDIR%\%serie de caracteres aleatorios%%número hexadecimal%.exe

Elimina los siguientes ficheros:
   • ANTI-VIR.DAT
   • CHKLIST.DAT
   • CHKLIST.MS
   • CHKLIST.CPS
   • CHKLIST.TAV
   • IVB.NTZ
   • SMARTCHK.MS
   • SMARTCHK.CPS
   • AVGQT.DAT
   • AGUARD.DAT
   • Shlwapi.dll
   • Kernel32.dll
   • netapi32.dll
   • sfc.dll

Elimina los ficheros que contienen una de las siguientes subseries de caracteres
   • _AVP32
   • _AVPCC
   • NOD32
   • NPSSVC
   • NRESQ32
   • NSCHED32
   • NSCHEDNT
   • NSPLUGIN
   • NAV
   • NAVAPSVC
   • NAVAPW32
   • NAVLU32
   • NAVRUNR
   • NAVW32
   • _AVPM
   • ALERTSVC
   • AMON
   • AVP32
   • AVPCC
   • AVPM
   • N32SCANW
   • NAVWNT
   • ANTIVIR
   • AVPUPD
   • AVGCTRL
   • AVWIN95
   • SCAN32
   • VSHWIN32
   • F-STOPW
   • F-PROT95
   • ACKWIN32
   • VETTRAY
   • VET95
   • SWEEP95
   • PCCWIN98
   • IOMON98
   • AVPTC
   • AVE32
   • AVCONSOL
   • FP-WIN
   • DVP95
   • F-AGNT95
   • CLAW95
   • NVC95
   • SCAN
   • VIRUS
   • LOCKDOWN2000
   • Norton
   • Mcafee
   • Antivir
   • TASKMGR
   • Sircam
   • Nimda
   • CodeRed
   • WQKMM3878
   • GRIEF3878
   • Fun Loving Criminal
   • Norton
   • Mcafee
   • Antivir
   • Avconsol
   • F-STOPW
   • F-Secure
   • Sophos
   • virus
   • AVP Monitor
   • AVP Updates
   • InoculateIT
   • PC-cillin
   • Symantec
   • Trend Micro
   • F-PROT
   • NOD32

Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\%serie de caracteres aleatorios%%número hexadecimal%.exe

– %PROGRAM FILES%\%serie de caracteres aleatorios de tres dígitos%%número hexadecimal%.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Elkern.C

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • wink%serie de caracteres aleatorios de tres dígitos% = %SYSDIR%\wink%serie de caracteres aleatorios de tres dígitos%.exe

Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Wink%serie de caracteres aleatorios de tres dígitos%]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wink%serie de caracteres aleatorios de tres dígitos%.exe
   • DisplayName = Wink%serie de caracteres aleatorios de tres dígitos%
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
   • Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
   • 0 = Root\LEGACY_WINK%serie de caracteres aleatorios de tres dígitos%\0000
   • Count = 1
   • NextInstance = 1

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

Exploit:
Se aprovecha de la siguiente vulnerabilidad:
– MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
–Direcciones de correo recolectadas de MSN Messenger
–Direcciones de correo recolectadas de ICQ Messenger

El diseño de los mensajes de correo:

Asunto: Worm Klez.E immunity
Cuerpo del mensaje:
   • Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
     Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
     We developed this free immunity tool to defeat the malicious virus.
     You only need to run this tool once,and then Klez will never come into your PC.
     NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
     If so,Ignore the warning,and select 'continue'.
     If you have any question,please mail to me.

Asunto: W32.Elkern removal tools
Cuerpo del mensaje:
   • %el substituto 1% give you the W32.Elkern removal tools
     W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.

     For more information,please visit http://www.%el substituto 1% .com

Asunto: W32.Klez.E removal tools
Cuerpo del mensaje:
   • %el substituto 1% give you the W32.Klez.E removal tools
     W32.Klez.E is a dangerous virus that spread through email.

     For more information,please visit http://www.%el substituto 1% .com

De: postmaster@%dominio de los destinatarios%
Asunto: Undeliverable mail--%palabras aleatorias%
Cuerpo del mensaje:
   • The following mail can't be sent to:
      %dirección de correo del destinatario%

     From: %dirección de correo del remitente%
     To: %dirección de correo del destinatario%
     Subject: --%palabras aleatorias%
     The file is the original mail

De: postmaster@%dominio de los destinatarios%
Asunto: Returned mail--%palabras aleatorias%
Cuerpo del mensaje:
   • The following mail can't be sent to:
      %dirección de correo del destinatario%

     From: %dirección de correo del remitente%
     To: %dirección de correo del destinatario%
     Subject: --%palabras aleatorias%
     The file is the original mail

Asunto: A (very/special) %el substituto 2% game
Cuerpo del mensaje:
   • (Hello,/Hi,) This is a (very/special) %el substituto 2% game
     This game is my first work.
     You're the first player.
     I %el substituto 3% you would %el substituto 4% it.

Asunto: A (very/special) %el substituto 2% website
Cuerpo del mensaje:
   • (Hello,/Hi,) This is a (very/special)%el substituto 2% website
     I %el substituto 3% you would %el substituto 4% it.

Asunto: A (very) good/powerful tool
Cuerpo del mensaje:
   • (Hello,/Hi,) This is a (very) good/powerful website
     I %el substituto 3% you would %el substituto 4% it.
Asunto: A IE 6.0/WinXP patch
Cuerpo del mensaje:
   • (Hello,/Hi,) This is a IE 6.0/WinXP patch.
     I %el substituto 3% you would %el substituto 4% it.

Asunto:
En algunos casos el campo del asunto está vacío.
The subject of the email is constructed out of the (es)

    A veces empieza con:
   • Fw:
   • Re:

    A veces seguido por una de las siguientes:
   • Hi,%el nombre de usuario desde la dirección de correo del destinatario%,
   • Hello,%el nombre de usuario desde la dirección de correo del destinatario%,

    A veces seguida por una de las siguientes:
   • Have a
   • Happy

   • how are you
   • let's be friends
   • darling
   • so cool a flash,enjoy it
   • your password
   • honey
   • some questions
   • please try again
   • welcome to my hometown
   • the Garden of Eden
   • introduction on ADSL
   • meeting notice
   • questionnaire
   • congratulations
   • sos!
   • Christmas
   • New year
   • Saint Valentine's Day
   • Allhallowmas
   • April Fools' Day
   • Lady Day
   • Assumption
   • Candlemas
   • All Souls'Day
   • Epiphany

   • japanese girl VS playboy
   • look,my beautiful girl friend
   • eager to see you
   • spice girls' vocal concert
   • japanese lass' sexy pictures

El cuerpo del mensaje:
– En algunos casos puede estar vacío.

% el substituto 1% puede ser extendido a uno de los siguientes:
   • Symantec
   • Mcafee
   • F-Secure
   • Sophos
   • Trendmicro
   • Kaspersky

% el substituto 2% es extendido a uno de los siguientes:
   • new
   • funny
   • nice
   • humour
   • excite

% el substituto 3% es extendido a uno de los siguientes:
   • wish
   • hope
   • expect

% el substituto 4% es extendido a uno de los siguientes:
   • like
   • enjoy

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

– Empieza por uno de los siguientes:
   • %archivo o directorio existente%

    La extensión del fichero es una de las siguientes:
   • .exe
   • .scr
   • .pif
   • .bat

– Empieza por uno de los siguientes:
   • %archivo o directorio existente%

    La extensión del fichero es una de las siguientes:
   • .txt
   • .htm
   • .html
   • .wab
   • .asp
   • .doc
   • .rtf
   • .xls
   • .jpg
   • .cpp
   • .pas
   • .mpg
   • .mpeg
   • .bak
   • .mp3
   • .pdf

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
• .txt; .htm; .html; .wab; .asp; .doc; .rtf; .xls; .jpg; .cpp; .pas;
.mpg; .mpeg; .bak; .mp3; .pdf

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
• %todas las carpetas compartidas%

Proceso de infección:
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %archivo o directorio existente%

.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

.exe
.scr
.pif
.bat
.rar

Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • _AVP32; _AVPCC; NOD32; NPSSVC; NRESQ32; NSCHED32; NSCHEDNT; NSPLUGIN;
      NAV; NAVAPSVC; NAVAPW32; NAVLU32; NAVRUNR; NAVW32; _AVPM; ALERTSVC;
      AMON; AVP32; AVPCC; AVPM; N32SCANW; NAVWNT; ANTIVIR; AVPUPD; AVGCTRL;
      AVWIN95; SCAN32; VSHWIN32; F-STOPW; F-PROT95; ACKWIN32; VETTRAY;
      VET95; SWEEP95; PCCWIN98; IOMON98; AVPTC; AVE32; AVCONSOL; FP-WIN;
      DVP95; F-AGNT95; CLAW95; NVC95; SCAN; VIRUS; LOCKDOWN2000; Norton;
      Mcafee; Antivir; TASKMGR; Sircam; Nimda; CodeRed; WQKMM3878;
      GRIEF3878; Fun Loving Criminal; Norton; Mcafee; Antivir; Avconsol;
      F-STOPW; F-Secure; Sophos; virus; AVP Monitor; AVP Updates;
      InoculateIT; PC-cillin; Symantec; Trend Micro; F-PROT; NOD32

Informaciones diversas Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
• Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 09 Oct 2007 08:29 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 09 Oct 2007 11:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back