Archivado en Noticias, Seguridad

ALERTA VIRUS: El 'Klez.G' prosigue su expansión en España


El 'Klez.G' prosigue su expansión en España, donde a día de hoy ha duplicado la circulación habitual de virus.El tres por ciento del medio millón de mensajes analizados por la Red Iris estaban infectados por él.

Recomendaciones de la Asociación de Internautas





El Centro de Alerta Temprana (CAT) sobre virus informáticos, órgano dependiente del Ministerio de Ciencia y Tecnología (MCYT), informó hoy a Europa Press de que la propagación del virus 'Klez.G' no ha remitido y que su difusión alcanza el mismo nivel que el pasado viernes, en torno a las quince mil copias diarias.

Esta última variante del virus 'Klez', descubierta el pasado 15 de abril en China y que ha sido catalogada por el CAT con la máxima peligrosidad --cinco--, aparece en el tres por ciento del medio millón de correos electrónicos analizados por la Red Iris universitaria, donde el 93 por ciento de sus centros lo ha detectado.

Así pues, en el día de hoy el CAT ha detectado 33.183 mensajes con virus, lo que supone que casi el siete por ciento de los 'e-mail' estaban infectados, cuando lo habitual es que esté en torno al tres por ciento como consecuencia de los denominados virus residentes. No obstante, de los virus encontrados hoy, el 'Sircam' (48 por ciento) supera por primera vez en los últimos días ligeramente al 'Klez.G' (44), y, ya muy lejos, aparece el 'Klez.F' (3,33).

Aunque lo cierto es que ayer jueves disminuyó algo el número de infecciones en España del 'Klez.G', la tendencia se recuperó hoy. El CAT advirtió que el problema es que los usuarios domésticos no han actualizado sus antivirus ni han descargado el parche acumulativo de Microsoft para el 'Internet Explorer' (www.microsoft.com/windows/ie/downloa s/critical/Q319182/default.asp), que el propio órgano español ofrece en su web.

Además, durante este mes ha aumentado el número de virus aparecidos diariamente, al pasar de 1,8 a tres. Así, el CAT ha detectado que se están sobrescribiendo muchos virus del pasado año con pequeñas variaciones, y, por otro lado, el 'Sircam' sigue provocando un elevado número de infecciones desde que apareció el pasado mes de julio, periodo desde el se ha mantenido siempre entre los cinco virus más peligrosos.

Sin embargo, mientras en España la situación no remite --el CAT lo consideró una "epidemia" el pasado martes--, a nivel mundial sí parece producirse una disminución del número de copias detectadas, según datos de la compañía Message Labs, que lo ha localizado en más de 140 países.

Después del parón experimentado durante el pasado fin de semana debido al cierre de muchas oficinas, la compañía detectó el pasado lunes y martes un auge en la difusión del 'Klez' al localizarlo ambos días en más de treinta mil correos electrónicos. Sin embargo, el miércoles su aparición se redujo a poco más de 22.000 'e-mails' y ayer apenas superó las 16.500 copias, lo que hace pensar que hoy viernes, al igual que durante el fin de semana, la tendencia seguirá a la baja a medida que los usuarios vayan protegiendo sus equipos.

200.000 COPIAS

En lo que va de mes, Message Labs ha detectado casi doscientas mil copias de este virus, frente a las 40.500 del 'Sircam' y las casi cuarenta mil del 'Klez.F'. El gusano ha pasado a ocupar por méritos propios el cuarto lugar de virus más difundidos desde 1999, por detrás de 'Sircam', 'Badtrans.B' y 'Magistr.A', desde que la compañía instauró su sistema de seguimiento de códigos maliciosos.

Por su parte, Panda Software considera que el 'Klez' es "más peligroso" que el 'Sircam', no tanto por su propagación, sino por su incidencia (equipos infectados), y señaló que no remite, por lo que "no hay que bajar la guardia".

Por otro lado, el director técnico de Trend Micro, Ricardo Hernández, afirmó que esta última versión del 'Klez' está siendo el virus más problemático desde la aparición del 'Nimda' el 18 de septiembre del pasado año --descontando el "enquistamiento" del Sircam--, con el que, además, guarda un "gran parecido por la vulnerabilidad que explota y su forma de difundirse en red".

Por este motivo, Hernández consideró que las políticas de seguridad de las empresas "no son muy adecuadas" y pidió a los usuarios domésticos, al igual que la propia Panda, que actualicen sus protecciones antivirus y descarguen los parches correspondientes.

VULNERABILIDAD

El 'Klez.G' es un gusano que utiliza su propio motor SMTP para propagarse vía correo electrónico, siendo capaz de infectar carpetas y directorios compartidos en la red local accesibles desde el puesto infectado. Aprovecha una vulnerabilidad del navegador 'Internet Explorer 5' y del programa de correo 'Outlook Express' para difundirse y rastrea el equipo en busca de cualquier dirección de 'e-mail' a la que infectar.

Este gusano intenta eliminar antivirus y 'software' de seguridad del PC infectado, dejándolo indefenso frente otras agresiones, y porta, además, el virus 'Elkern'. El código aprovecha un agujero de seguridad para ejecutarse con sólo abrir el mensaje, sin necesidad de ejecutar el archivo adjunto.

Se trata de una nueva variante del virus aparecido en el último trimestre del pasado año. Cuando es ejecutado realiza copias de sí mismo en el directorio 'WindowsSystem' con el nombre 'WINK?.EXE', donde el asterisco será una combinación aleatoria de caracteres. Después creará una entrada en el registro para ejecutarse automáticamente con cada reinicio.

El virus es capaz de expandirse a través de una red local (LAN) hasta las carpetas y directorios visibles como compartidos desde la máquina infectada y que tengan privilegio de lectura/escritura para copiarse a sí mismo con un nombre generado aleatóriamente y borrar ficheros con extensiones '.EXE', '.PIF', '.COM', '.BAT', '.SCR' y '.RAR'. Ocasionalmente el nombre del fichero puede tener doble extension.

DIVERSOS ASUNTOS

El asunto del correo que envía está compuesto de forma compleja por frases muy variadas en inglés. Entonces construye un correo HTML, que contiene una copia del gusano codificado en base64, y genera aleatoriamente el nombre del adjunto.

Entonces manda comandos al servidor SMTP para crear y enviar correo electrónico. El asunto y el cuerpo finales del correo pueden ser compuestos aleatoriamente. Se aprovecha de la conocida vulnerabildad del navegador 'Internet Explorer' que permite ejecutar datos MIME incrustados, de forma que si se recibe con 'Outlook Express' y el 'Explorer' no está parcheado, se ejecuta al visualizar el mensaje.

Reproducido de Europa Press

pdfprintpmail