¿La conspiración del
silencio?
Me extraña (o tal vez no), lo poco que he visto escrito, tanto en
las notas de prensa, como en las descripciones de los propios
fabricantes de antivirus, sobre una de las características del
Klez-E, que con cierta triste y poco meditada ironía podríamos
mencionar como "deliciosamente maligna".
Me extraña el silencio, porque es algo difícil de ocultar, siendo
además una de las trampas más simples, y al mismo tiempo más
pérfidamente destructiva que nunca antes, que yo recuerde, se haya
visto. Y cuando hablo de destrucción, no me refiero solo a los
archivos de nuestras computadoras (que también lo hace), sino a la
destrucción de dos valores que me parecen muy importantes en la
lucha contra el flagelo de los virus.
Primero, destruye la reputación de quienes nos dedicamos a mantener
alertas a cientos de internautas en su viaje por las peligrosas
autopistas de la información. Quienes nos empeñamos en abrir las
mentes de usuarios inquietos y desaprensivos (sobre todo noveles),
dándole elementos de juicio que le hagan valorar el peligro de
descargar cualquier archivo, o hacer doble clic sobre cualquier
adjunto recibido, ahora podemos ver como nuestra credibilidad puede
irse al tacho de la basura.
Y segundo, y tal vez el punto más importante si logramos sacudirnos
los restos de nuestro ego mortalmente herido por lo dicho en el
párrafo anterior, es que se le ha dado una reverenda patada en los "cojones"
a la credibilidad y a la confianza de muchos involucrados seriamente
en la divulgación e investigación antiviral.
La sutil pero destructiva venganza de un
virus
¿Y de que estoy hablando?. Pues, de una de las características del
Klez-E, que hace que muchos de sus mensajes infectados, sean
enviados por un usuario falso. Pero un usuario falso que puede ser
cualquiera cuya dirección de correo haya sido capturada por el virus
en alguna máquina infectada. De ese modo, usted podría recibir (si
es que ya no le ha ocurrido), un mensaje de mi propia persona
infectado, ¡que yo no le he enviado!.
¿Se imagina alertas de virus de empresas como McAfee, Kaspersky,
Panda, etc., infectadas por el Klez?. La mala noticia es que ya las
hay. Nosotros hemos recibido al menos tres de estos mensajes
"enviados" por alguna de estas compañías. ¡E incluso hemos recibido
mensajes de nosotros mismos infectados por el Klez!...
Conociendo algunas peculiaridades de la mayoría de los internautas,
demostrada en la divulgación de falsos virus como el SULFNBK
(ver en el área "Hoaxes"),
o de tantos bulos similares, me extraña que no se hayan propagado
historias sobre este tema. Pero de seguro lo habrán.
Por ello me resulta aún más extraño que no se haya publicado más
información sobre esta forma de actuar del Klez-E, y que pocas (sino
es que ninguna) de las descripciones de los principales fabricantes
de antivirus, haya documentado debidamente este punto.
Nuestras únicas armas
Por lo pronto, solo nos queda un arma para luchar contra esta plaga
(la cantidad de incidencias del virus ha aumentado en nuestros
sistemas de monitoreo, casi un 100% en las últimas semanas,
comparado con igual periodo del mes anterior).
Esa arma es la información. Mantener informado con la verdad a los
usuarios, es la única herramienta para hacerlos menos vulnerables.
Nos gustaría que los fabricantes de antivirus fueran conscientes de
esto.
Mientras tanto, lo importante es que recuerde que cualquier conocido
puede "enviarle" un mensaje infectado con el Klez.E, incluidos
nosotros, sin que realmente el mensaje haya salido de nuestras
computadoras, ni que estemos infectados.
Incluso usted mismo puede recibir las quejas de alguien, diciéndole
que usted está enviándole mensajes infectados, cuando ello no es así
(de cualquier modo, siempre asegúrese de no estar realmente
infectado, haciendo un examen periódico de su sistema con uno o más
antivirus actualizados).
Pero para estar realmente protegidos, solo nos queda desconfiar más
que nunca, de todo mensaje recién recibido, sin importar de quien
venga, además de tener los parches correspondientes de nuestro
Internet Explorer y Outlook Express.
Cómo protegernos
La única protección efectiva para este gusano, es actualizar el
Internet Explorer con el parche al que Microsoft se refiere en su
boletín MS01-020 (o MS01-027) (ver Referencias al pie de este
artículo).
El gusano llega en un mensaje con formato, generalmente con un
tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar,
y un adjunto (no visible con el clásico clip), también variable. El
remitente puede ser un usuario infectado, o puede figurar cualquier
dirección conocida, usurpada por el virus, sin que el remitente esté
infectado.
Valiéndose de una vulnerabilidad en las extensiones MIME, el
Internet Explorer (quien ejecuta por defecto todos los mensajes con
formatos HTML del Outlook, aunque esto pase desapercibido, debido a
que no se abre una pantalla del IE), abre y ejecuta el archivo
binario adjunto al correo, pensando se trata de uno de música por
ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema
que permite integrar dentro de un mensaje de correo electrónico
archivos de imágenes, sonido, programas ejecutables, etc.,
específicos para determinadas aplicaciones o archivos multimedia. El
error consiste en hacer pensar al IE que se trata de un sonido o una
imagen y abrirlo sin comprobar. En ese caso, el archivo con el
gusano (un EXE), se ejecuta sin advertencia alguna.
Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los
parches mencionados.
También puede afectar a usuarios con otros navegadores, aunque en
ese caso al abrir el adjunto con un doble clic.
El gusano opera independientemente del cliente del correo, usando
sus propias rutinas de SMTP para extenderse, de modo que también son
afectados los usuarios que no usen Outlook u Outlook Express (aunque
se requiere abrir el adjunto).
Herramienta para limpiar el Klez.E
CLARV es una utilidad creada por Kaspersky Labs para eliminar la
infección del Klez (y otros virus, como se explica en el enlace a
nuestro sitio).
Siga estos pasos para utilizar CLRAV (*):
1. Descargue CLRAV.COM (66 Kb) de nuestro sitio al escritorio de
Windows (por ejemplo):
http://www.vsantivirus.com/util-clrav.htm
2. Haga doble clic sobre el archivo descargado
(CLRAV) y siga las instrucciones.
3. Ejecute uno o dos antivirus actualizados
4. Reinicie su PC
5. Vuelva a ejecutar un antivirus actualizado escaneando todos sus
discos
Nota: Si su PC está conectado a una red, desconecte cada PC de la
red, y repita este proceso EN CADA PC.
(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All rights
reserved.
Publicado originalmente en:
VSAntivirus.com
NOTA DEL EDITOR: Si reciben algun
archivo infectado por este virus (o cualquier otro) desde alguna
dirección de Virus Attack!, les rogamos reenviarlo a ejemplos@virusattack.com.ar.
Vale aclarar que bajo ningún punto de vista Virus Attack! ha estado
distribuyendo este (o cualquier otro) virus, con o sin conocimiento
de ello, y que ninguno de nuestros equipos se vió infectado por el
W32/Klez.e (o cualquier otro virus)
|