Virus Klez aquel que se propaga por correo electrónico

Klez infecta de Microsoft Windows sistemas, aprovechando una vulnerabilidad de Internet Explorer ‘s Trident motor de diseño, utilizado tanto por Microsoft Outlook y Outlook Express para hacer HTML electrónico.

El correo electrónico a través del cual se propaga el gusano siempre incluye una parte de texto y uno o más archivos adjuntos.

La parte de texto consiste en una etiqueta de marco interno HTML que hace que los clientes de correo electrónico con errores ejecuten automáticamente el gusano, o unas pocas líneas de texto que intentan inducir al destinatario a ejecutar el gusano abriendo el archivo adjunto (a veces alegando que el gusano adjunto es un parche de Microsoft; a veces afirmando que el adjunto es un antídoto para el gusano Klez). El primer apego es siempre el gusano, cuyas entrañas varían.

Una vez que se ejecuta el gusano, ya sea automáticamente por el motor HTML defectuoso o manualmente por un usuario, busca direcciones a las que enviarse. Cuando se envía a sí mismo, puede adjuntar un archivo de la máquina infectada, lo que lleva a posibles violaciones de la privacidad.

Más tarde variantes del gusano sería utilizar una falsa Desde la dirección, recogiendo una dirección de correo electrónico al azar de la libreta de direcciones de Outlook o Outlook Express de la máquina infectada, por lo que es imposible para los observadores casuales para determinar qué máquina está infectada, y por lo que es difícil para los expertos para determinar algo más que el proveedor de servicios de Internet de la máquina infectada.

Es un emisor masivo de correos que utiliza su propio motor SMTP para propagarse vía correo electrónico tomando como las siguientes victimas a los contactos de la libreta de direcciones. Es capaz de infectar carpetas y directorios compartidos en la red local accesibles desde el puesto infectado.

Este gusano intenta eliminar antivirus y software de seguridad del PC infectado, dejándolo indefenso a otras agresiones.

El virus se ejecuta con sólo abrir el mensaje en versiones no parcheadas de Internet Explorer/Outlook Express, aunque no ejecutando el adjunto, dado que el adjunto aparece como un fichero de audio. Sin embargo se copia como un ejecutable en unidades de red, que pueden ser ejecutados por un usuario incauto.

El Asunto del correo que envía está compuesto de forma compleja; como ejemplos estos son algunos:

how are you
darling
so cool a flash,enjoy it
congratulations
Introduction on a ADSL
your password
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
Undelivarable mail-?%s?
Returned mail-?%s?

%s es una cadena aleatoria

Entonces construye un correo HTML, que contiene una copia del gusano con la copia del gusano, codificado en base64. Genera aleatoriamente el nombre del adjunto.

Será capaz de expandirse vÍa LAN hasta las carpetas y directorios visibles como compartidos desde la máquina infectada y que tengan privilegio de lectura/escritura para copiarse a si mismo con un nombre generado aleatoriamente y borra ficheros con extensiones:

.EXE
.PIF
.COM
.BAT
.SCR
.RAR

Entradas relacionadas

Dejar un Comentario