Virus: Klez

Es cada vez más normal --demasiado habitual sin duda-- que un servicio tan útil como el correo electrónico se convierta en un receptáculo para informaciones irrelevantes, y lo que es peor aún, el medio ideal para el transporte de virus electrónicos.

Los creadores de virus informáticos han hecho de Microsoft su enemigo público número 1, siendo sus programas el repetido objetivo de sus ataques. La principal razón de todo esto, es la vulnerabilidad de dicho software, al que continuamente se le encuentran fallos o agujeros de seguridad.

Características

En las últimas fechas, un virus conocido como Klez se está propagando, a pasos agigantados, a través del programa de correo Microsoft Outlook.

El virus parece estar originado en Asia, y se activa el día 13 de todos los meses impares (enero, marzo, mayo, julio, septiembre y noviembre). En estas fechas, el virus comprueba los discos duros (tanto locales como de red local), y rellenará los archivos con datos aleatorios. De sta forma, su recuperación será completamente imposible.

Klez contiene en sí mismo una copia comprimida del virus Elkern, pero que por un error de programación, sólo infectará sistemas con Windows 98 o con Windows Me.

Reconocimiento

Si recibes un mensaje de alguno de los remitentes (From) que se relacionan a continuación, es probable que contenga una copia del virus Klez.

king@21cn.com
flag@21cn.com
super@21cn.com
zhangcheng77@online.sh.cn
broused@online.sh.cn
lbhuangsy@21cn.com
kqlbaby@21cn.com
jiemin@citiz.net
feiyiming@citiz.net
lllwww@online.sh.cn
tomyjiang18@21cn.com
luxianchu@21cn.com
kqlbaby@21cn.com
lin_yuezhi@citiz.net
zhangcheng77@online.sh.cn
zbzwy@21cn.com
sarge2010@21cn.com

Nota

Obviamente, el nombre del remitente no es este, sino que está alterado, para que no se vea su verdadero origen.

En el campo Asunto (From) del mensaje, cualquiera de los siguientes es sospechoso de contener el virus:

Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Don't drink too much
Hello, %nombre del receptor%,questionaire
Your password
Japanese lass' sexy pictures
Hi, %nombre del receptor%, congratulations
Welcome to my hometown
A funny website

Si el Cuerpo (Body) del mensaje contiene alguno de estos textos, también deberías tener el mensaje en cuarentena, y observarlo detenidamente:

I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

Como adjunto (Attachment) al mensaje aparece un fichero ejecutable (extensión EXE) con un tamaño de 57.345 bytes.

Propagación

No obstante lo dicho, Klez ha sido todo un éxito desde el principio, y ha generado muchas variantes. Por eso, debes desconfiar de cualquier mensaje no solicitado, aunque no coincida con los datos citados más arriba.

La forma que tiene Klez de propagarse no es muy distinta de muchos otros gusanos que le han precedido: toma todas las direcciones de la libreta de direcciones, y envía una copia del mensaje a cada una de ellas. Pero, Klez, además, intenta deshabilitar los programas antivirus que el usuario haya instalado en el sistema.

Klez y Pegasus Mail

No parece que Pegasus sea un típico conducto para la propagación del virus Klez, pero lo mejor es estar continuamente alerta, actualizando el software antivirus siempre que sea posible, y teniendo una actitud un poco más desconfiada respecto del origen de los mensajes de correo.

Nota

Los usuarios de Microsoft Oulook suelen tener activada la opción de vista previa, así como la lectura de mensajes en formato HTML. Los expertos aconsejan desactivar dichas opciones, porque constituyen en sí mismos una facilidad para la infección vírica.