Klez.H

KLEZ.H, gusano de amplia difusión masiva deshabilita antivirus, infecta redes locales

Win32/Klez.H, W32.Klez.H@MM, I-Worm.Klez.H, TROJ_KLEZ.H

El 17 de Abril del 2002, se reportó el gusano Klez.H, variante del gusano Klez.E, originalmente en diversos paises asiáticos e inmediatamente se propagó masivamente a Europa y los Estados Unidos, habiendo llegado al Perú a las 17:50 hrs.

Es un PE (Portable Ejecutable) e infecta todos los sistemas operativos Windows95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Este gusano, al igual que sus versiones anteriores envía mensajes con archivos anexados de nombres y asuntos aleatorios, pero las diferencias fundamentales son:

No tiene un payload definido. Vale decir que no genera ningún daño.
La extensión .PDF ha sido agregada a la lista de extensiones que esta variante usa para generar un nombre de doble extensión para su archivo infectado.

Al ejecutar el archivo infectado, el gusano se copia con un nombre aleatoria a:

\%System%\Wink<caracteres-aleatorios>.exe

%Systems% es una variable que el gusano ubica en la carpeta C:\Windows o C:\Winnt\Systems32 y le agrega el valor Wink<caracteres-aleatorios> %System%\Wink<caracteres-aleatorios>.exe a la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

o crea la siguiente llave en el registro de Windows:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink<caracteres_aleatorios>]

e inserta un valor en dicha sub-llave con el objeto de que el gusano se ejecute la próxima vez que se inicie el sistema.

Klez.H deshabilita las rutinas de rastreo o búsqueda de virus y algunos virus previamente distribuidos, tales como el Nimda y CodeRed, con el propósito de detener cualquier proceso en actividad. Luego el gusano remueve las llaves de inicio del registro usados por varios software antivirus y borra los archivos de bases de datos de verificación de extensión de archivo (Checksum) incluyendo:

Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat

El gusano se auto-copia a las unidades compartidas en red con un nombre de archivo aleatorio con doble extensión, teniendo la segunda el atributo de "oculto". Luego busca buzones de correo en la Libreta de Direcciones de Windows, en la base de datos del ICQ y en archivos locales, para finalmente enviar mensajes de correo con su propio anexado.

Klez.H contiene su propio motor de envío de mensajes SMTP y el Asunto, Cuerpo del mensaje y Archivos Anexados son aleatorios, tomados de los sistemas que infecta y de su código viral.

El gusano buscará los archivos que tengan las siguientes extensiones para las direcciones de correo:

mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

Los mensajes enviados son compuestos por cadenas aleatorias con un Asunto elegido de la siguiente lista:

Undeliverable mail--"[Random word]"
Returned mail--"[Random word]"
a [Random word] [Random word] game
a [Random word] [Random word] tool
a [Random word] [Random word] website
a [Random word] [Random word] patch
[Random word] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

La palabra aleatoria será una de las siguientes:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

Este gusano también infecta archivos .EXE o .DLL, creando una copia oculta del archivo receptor original y luego lo sobrescribirá con su micro código. La copia oculta está encriptada pero no contiene ningún código viral y el nombre de este archivo es el mismo del archivo original infectado, pero con una extensión aleatoria.

Finalmente el gusano inserta el virus W32.Elkern.4926 contenido dentro de sí mismo, con un nombre aleatorio en la carpeta %Archivos de programa% y lo ejecuta.

El gusano, eventualmente envía el siguiente mensaje con su propio archivo anexado:

Dentro del cuerpo de su código viral contiene el siguiente texto, el cual nunca es mostrado:

Win32 Klez V2.01 & Win32 Foroux V1.0 Copyright 2002,made in Asia About Klez V2.01: 1,Main mission is to release the new baby PE virus,Win32 Foroux 2,No significant change.No bug fixed.No any payload. About Win32 Foroux (plz keep the name,thanx) 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP 2,With very interesting feature.Check it! 3,No any payload. No any optimization 4,Not bug free,because of a hurry work. No more than three weeks from having such idea to accomplishing coding and testing.

PER ANTIVIRUS® versión 7.4 con registro de virus al 17 de Abril del 2002 detecta y elimina eficientemente este gusano.