Características: El gusano puede ser recibido en un mensaje de correo
electrónico con asunto, cuerpo y nombre de adjunto aleatorio. El asunto del
mensaje será elegido de entre la siguiente lista:
- Undeliverable mail--"[Palabra aleatoria]"
- Returned mail--"[Palabra aleatoria]"
- a [Palabra aleatoria] [Palabra aleatoria] game
- a [Palabra aleatoria] [Palabra aleatoria] tool
- a [Palabra aleatoria] [Palabra aleatoria] website
- a [Palabra aleatoria] [Palabra aleatoria] patch
- [Palabra aleatoria] removal tools
- how are you
- let's be friends
- darling
- so cool a flash,enjoy it
- your password
- honey
- some questions
- please try again
- welcome to my hometown
- the Garden of Eden
- introduction on ADSL
- meeting notice
- questionnaire
- congratulations
- sos!
- japanese girl VS playboy
- look,my beautiful girl friend
- eager to see you
- spice girls' vocal concert
- japanese lass' sexy pictures
La [Palabra aleatoria] en los posibles asuntos antes mencionados será tomada
de la siguiente lista:
new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0, W32.Elkern, W32.Klez.E,
Symantec, Mcafee, F-Secure, Sophos, Trendmicro, KasperskyEl cuerpo del
mensaje también es aleatorio y el nombre del archivo adjunto también puede
cambiar sin un patrón determinado. Para enviarse utiliza su propio servidor
SMTP y las direcciones a las que se envía son tomadas de la libreta de
direcciones de Windows, la base de datos de ICQ (si existe), y archivos locales
con las siguientes extensiones.
.mp8, .exe, .scr, .pif, .bat, .txt, .htm, .html, .wab, .asp, .doc, .rtf, .xls,
.jpg, .cpp, .pas, .mpg, .mpeg, .bak, .mp3, .pdf
El remitente del mensaje (From) es también tomado aleatoriamente de esta
lista, por lo que el gusano no se reenviará con la dirección del usuario
infectado sino con una de sus contactos, al igual que la versión E de este
virus.
En algunos casos, el gusano se envia en un mensaje completamente distinto, que simula ser una herramienta de desinfección del virus W32/Klez.e, cuando en realidad se trata del propio gusano.
Asunto:Worm Klez.E immunity
Cuerpo del mensaje: Klez.E is the most common world-wide spreading worm.
It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
(En el caso de este mensaje en particular el virus no se ejecuta automáticamente)
Si el usuario abre el mensaje o lo visualiza con la vista previa en un
sistema que no se encuentre correctamente actualizado, el gusano se ejecutará
automáticamente.
Luego se copiará al directorio de sistema (normalmente \Windows\System) bajo
el nombre Wink[carácteres aleatorios].exe, y agregará una entrada a algunas de
las siguientes claves de registro para poder ejecutarse en posteriores reinicios
del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\System\CurrentControlSet\Services\Wink[carácteres
aleatorios]
Intentará deshabilitar algunos antivirus eliminando sus claves de inicio en
el registro del sistema y borrando los siguientes archivos:
- Anti-Vir.dat
- Chklist.dat
- Chklist.ms
- Chklist.cps
- Chklist.tav
- Ivb.ntz
- Smartchk.ms
- Smartchk.cps
- Avgqt.dat
- Aguard.dat
A través de los recursos compartidos intentará reproducirse copiándose a
las unidades locales y de red con un archivo ejecutable de extensión .txt.exe y
nombre aleatorio, así como también con un archivo comprimido de extensión .txt.rar
y de nombre también creado al azar.
También libera la nueva versión del virus W98/Elkern,
capaz de eliminar gran cantidad de información del equipo infectado en una
fecha determinada, causando que no pueda volver a arrancarse correctamente.
Fuentes: SARC, BitDefender,
Kaspersky Labs. |
