Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Detalle de virus

Virus de tipo gusano, que se propaga a través del correo electrónico. Los mensajes enviados pueden tener distintos asuntos y los ficheros adjuntos se generan con un nombre aleatorio.

Detalles técnicos

  • Difusión: Baja
  • Daño:
  • Dispersibilidad:
  • Fecha de alta: 26/10/2001
  • Última actualización: 11/12/2009

Arriba

Propagación

Capacidad de autopropagación:

Se propaga de las siguientes maneras:

Correo Electrónico Masivo

Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.

Asunto: Alguno de los siguientes

  • Where will you go?
  • We want peace
  • Can you help me?
  • How are you?

Arriba

Infección/Efectos

Cuando klez se ejecuta, realiza las siguientes acciones:

Otros detalles

W32/klez es un gusano que se propaga a través del correo electrónico. Los mensajes enviados varían y pueden tener distintos asuntos, los ficheros adjuntos se generan con un nombre aleatorio.
Una vez que ha sido ejecutado crea un fichero en el directorio Windows y otro en el directorio Windows/Temp.

Los mensajes presentan el siguiente formato:

Asuntos:

How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger

Mensaje:

I'm sorry to do so,but it's helpless to say sorry
. I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500
. What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

Archivo adjunto: el nombre del adjunto es creado de manera aleatoria.

Al sert ejecutado el adjunto, se copia a sí mismo en el directorio Windows, así como en el Windows\Temp, de manera que crea una entrada en el registro de Windows para asegurar su ejecución en cada arranque del ordenador infectado.
Dicha entrada es la siguiente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Finalmente, si existe alguna unidad mapeada, el gusano se copiará en ella con doble extensión (.xls.exe, .doc.exe, etc...).

Enlaces Asociados:

Arriba

Contramedidas

Desinfección

1.Analice su ordenador con el antivirus para eliminar todos los ficheros creados por el gusano.
2.Ejecute la aplicación Regedit. Para hacerlo, pulse el botón Inicio y seleccione la opción Ejecutar... Después, escriba Regedit y pulse Aceptar.
3.Una vez en el Registro de Windows, colóquese en el directorio HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Allí, borre la entrada que haga referencia al fichero del gusano
4.Rastrear el equipo infectado con un antivirus actualizado y eliminar todos los archivos detectados por este como cualquiera de los nombres atribuídos al virus en cuestión.

Arriba