El virus Klez infecta miles de ordenadores del todo el mundo

Klez. Bajo estas simpáticas letras se esconde un virus que empieza a preocupar a todos los usuarios conectados a la red de redes. Su padre biológico parece residir en China, y todo apunta a que pertenezca a la misma zona donde se creó hace un par de años el famoso virus código rojo, que atacaba los servidores de IIS de Microsoft.

El virus tiene todos los calificativos para ser considerado uno de los virus más potentes hasta la fecha, aunque por lo menos no ha conseguido alcanzar al famoso ?I Love You? en cuanto a ordenadores infectados. Sin embargo las dos características que le están otorgando un mayor grado de peligro son, sin duda, su elevadísima velocidad de propagación y su resistencia a numerosos antivirus, mediante la utilización de pequeñas variaciones de su código.

La más peligrosa de todas las metamorfosis es Klez.H, (técnicamente w32.klez.h@mm), principalmente porque los actuales antivirus no lo detectan, además de tener la capacidad de desactivar aquellos antivirus que no han sido actualizados en el momento del contagio, una razón más para no confiarnos de nuestro antivirus sobretodo si no lo teníamos actualizado para detectar las primeras mutaciones.

La forma en que Klez.H llega a nuestros ordenadores es en un 95% de los casos por correo electrónico, mediante un mail proveniente de otro usuario infectado, es decir que podemos conocer, y que incorpora, además de un archivo autoejecutable infectado, una frase en el mensaje que lamentablemente no es fija. Existen más de 100 frases con las que llegar a darse a conocer. Incluso existe la posibilidad de que el virus con cada nueva mutación vaya engordando la larga lista de palabras con la que se dirige simpáticamente hacia nosotros.

Además, el virus es capaz de formar palabras entre una lista que posee para formar otras de nuevas, tanto en el encabezado del mensaje como en el cuerpo del mismo. Por si fuera poco puede presentarse como una solución para eliminarse a sí mismo, es decir, como una herramienta con la que librarnos de él, cuando en realidad nos está contagiando por los cuatro costados.

La forma en que se reproduce una vez infectado es a través de su propio servidor SMTP, que trae incluido en su código, enviándose a todas las direcciones de correo que tengamos en nuestro ordenador y adjuntando un archivo con nombre aleatorio (de nuevo demuestra que no sigue ningún patrón) que renombra a extensiones que son auto ejecutables desde programas de correo como el Outlook. Klez también supera a sus antecesores en este aspecto, al cruzar los destinatarios entre sí, de tal forma que puede parecernos que un usuario está infectado porque nos manda el virus, cuando en realidad el antivirus simplemente ha cruzado el remitente con la lista de direcciones que existía en la máquina originalmente infectada.

Llegado el momento de dañar, el virus utiliza el motor de otra variación menos peligrosa Elkern.c, que no es operativa bajo Windows 95 y Windows NT. Este ?engine? modifica el registro para poder autoejecutarse cada vez que encendemos la máquina, siendo capaz en el transcurso de la misma de dañar cualquier archivo de nuestro disco duro simplemente asignándole un tamaño diferente al original.

Para aquellos lectores que en estos momentos se encuentren preocupados por la posibilidad de estar infectados, indicarles que el programa utiliza las rutas del registro: LocalMachineSoftwareMicrosoftWindows CurrentVersionRunWQK en Windows 98 y Millenium, y LocalMachineSoftwareMicrosoftWindowsNT CurrentVersionWindowsAppInit_DLLs en Windows 2000 y XP. En ambas claves añade la librería dinámica wqk.dll, que permitirá cargar el virus en memoria cada vez que iniciemos nuestro ordenador. Si tenéis dicha librería en vuestro ordenador, haceros con una versión reciente de vuestro antivirus favorito y arrancar desde un disco de inicio, porque eliminando esta clave no estaréis a salvo.