KLEZ.I TAMBIEN ARRASO EN JUNIO

En junio, y por tercer mes consecutivo, la variante I del gusano Klez ha sido el código malicioso que ha afectado al mayor número de equipos, tal y como se desprende de los resultados obtenidos por Panda ActiveScan.

Según los datos recogidos por la solución antivirus online gratuita de Panda Software, en el pasado mes Klez.I ha protagonizado el 19,07% de los incidentes, seguido -a mucha distancia- por Elkern.C (con un porcentaje del 4,84%). Tras ellos se encuentran Help (3,43%), Sircam (2,91%), Klez.F (2,88%) y Bck/SubSeven (2,13%). Por su parte, Hybris y Nimda se encuentran en séptima y octava posición, respectivamente, descendiendo respecto a la que ocupaban en los rankings de meses anteriores. Finalmente, en las últimas posiciones de la lista aparecen Disemboweler y Kazoa.

Entre las características que explican el liderazgo de Klez.I, entre los virus más reportados en el Top Ten de Panda ActiveScan, destacan:

Su capacidad para propagarse rápidamente a través del correo electrónico, a todos los contactos de la libreta de direcciones del ordenador al que afecta, en un e-mail cuyo asunto y cuerpo del mensaje es muy variable. Además, es capaz de cambiar la dirección del remitente del e-mail, por lo que muchos de los mensajes que lo contienen parecen haber sido enviados por usuarios cuyos equipos, en realidad, no han sido atacados por él.

Su aprovechamiento de una vulnerabilidad detectada en el navegador Internet Explorer, y corregida por Microsoft, posibilita su ejecución de forma automática con la vista previa del mensaje que lo contiene.

El Top Ten de Virus detectados en junio es el siguiente:

W32/Klez.I: 19’07%
W32/Elkern. C: 4’84
VBS/Help: 3’43%
W32/Sircam: 2’91%
W32/Klez.F: 2’88%
Bck/SubSeven: 2’13%
W32/Hybris: 1’87%
W32/Nimda: 1’74%
W32/Disemboweler: 1’74%
W32/Kazoa: 1’66%

Para ayudar al mayor número de usuarios a mantener sus equipos libres de virus, Panda Software ofrece gratuitamente Panda ActiveScan en la dirección http://www.pandasoftware.es.

Por otro lado, Panda ha querido advertir sobre el aumento de la probabilidad de posibles encuentros con W32/Grade-A, un peligroso gusano que está liderando las infecciones en los últimos días. Por otra parte, al mostrar textos en castellano, Grade-A podría provocar incidencias principalmente en los países de habla hispana.

Grade-A, cuyo origen se encuentra en Chile, es un gusano muy peligroso, tanto por el uso que hace de las denominadas “técnicas de Ingeniería Social” para engañar a los usuarios como por sus efectos, ya que borra ficheros indispensables para el correcto funcionamiento del ordenador.

El gusano llega en un archivo adjunto a un mensaje de correo electrónico, del que, para mayor peligrosidad, se han detectado hasta ocho versiones diferentes. Algunos ejemplos serían los siguientes:

- Versión 1:

Asunto: Es posible que nos roben la identidad
Cuerpo del mensaje: lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso

Fichero adjunto: YaNoPuedoSerYoMismo.DOC.pif

- Versión 2

Asunto: 77:Test de amor.

Cuerpo del mensaje: Hace el test de amor, calcula el puntuaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.

Fichero adjunto: TestDeAmoryAmistad.DOC

Si el fichero es ejecutado, Grade-A se envía a todos los contactos de la libreta de direcciones de Outlook. Además, borra ficheros del directorio raíz del disco duro, como por ejemplo: AUTOEXEC.BAT, BOOTLOG.PRV, BOOTLOG.TXT, COMMAND.COM, CONFIG.SYS, etc.

Al mismo tiempo, Grade-A genera una gran número de copias de si mismo en el directorio raíz del equipo afectado, bajo nombres tales como AUTOEXEC.BAT .exe, AVP40Crack.exe, AVP-SpanishPatch.exe, BanderaNegra.vbs, BOOTLOG.PRV .exe, BOOTLOG.TXT .exe, COMMAND.COM .exe, CONFIG.SYS, etc. También crea otros archivos en el directorio de Windows que se corresponden con los que envía por correo electrónico.

Finalmente, el gusano crea varias entradas en el registro de Windows con el fin de asegurar su presencia cada vez que se reinicie el equipo. Adicionalmente, cuando el gusano termina de realizar sus acciones, muestra una pantalla de error.