Un comment en DÜ sobre un troyano me hizo darme cuenta de algo… investigué un poco… y de golpe me doy cuenta que el Klez.H (Virus del tipo Worm) es el virus más dificil de contener que hubo.
¿Como trabaja?
Este virus combina código propio de Worm con código de hacking, diseñado para infectar a los usuarios y diseinarse en 3 maneras diferentes.
1- El típico método en el cuál un usuario hace click en un mail que le enviaron(pese a que todos conocen esto.. siguen haciendo click!)
2- Si no se hace click en el mail… y no tenés actualizado Outlook con los últimos parches de seguridad, solamente al previsualizar el mail.. estás infectado.
3- Quizás la forma novedosa y más peligrosa, en un disco compartido en una red, se disemina en directorios aleatorios… haciendo que cualquier usuario de esa red se infecte.
Ingeniería Social
Una cosa que es interesante es que el código del virus, hace que tome de la PC infectada, cualquier dirección de mail configurada en su Outlook y lo combine con un título de algún mail guardado.
Esto hace que constantemente cambie de Remitente y Título, haciendo que sea más dificil de detectar y sea mucho menos sospechoso que los virus anteriores.
Los Protectores
1- Symantec, la empresa que hace el Norton Antivirus, no tiene todavia la manera de removerlo…. pero al menos te avisa que estas infectado.
2- Cisco Systems, tuvo que avisarle a sus clientes que la dirección de mail (psirt@cisco.com) que utiliza para Reportes de Seguridad está siendo duplicada en el envío de mails.
3- Microsoft, el fabricante del Outlook, pide a sus usuarios que bajen los parches de seguridad del site de Outlook asi al menos se corta una de las maneras de infectarlo.
Consejo
No abras mails sin saber que lo estás esperando… actualizá urgente tu antivirus y actualizá los parches de seguridad de Outlook.
Sé que esto te suena repetitivo.. pero, como diría Tu-Sam.. “todo puede fallar” ;)
9 respuestas en “Klez.H…”
me resulto muy interesante lo del klez, pero no creo entender si toda esa proteccion de la que hablas serviría en este caso del que te hablo…
este es el articulo el Sydney Morning Herald sobre el asunto
el artículo en el que leí lo del kazaa es este: http://www.smh.com.au/articles/2002/04/26/1019441306209.html (del Sydney Morning Herald)
El klez labura como el worm que vos describís… quizás este caso no es el mismo efectivamente.
Pero te cuento que estas cosas qeu te recomiendo te sirven igual.. o sea.. actualizar el AV.. y el Outlook
Cierto… en los ultimos dias me han estado saliendo cientos de mensajes de advertencia por causa de este worm… y me acaban de pasar el anti-Klez de Symantec por si las moscas.
Todo esto no hace más que reforzar mi convicción acerca de lo acertado que fue cambiar la PC de mi casa por una Mac.
Es increible como se esta expandiendo.. basicamente el problema siguen siendo los agujeros de Outlook… la idiotez de la gente al clickear en archivos… y la (genial! en serio) idea de hacerlo reproducible en discos compartidos.
A mí me han mandado infinidad de veces ese virus por e-mail, pero la protección combinada del Zone Alarm Pro 3 y el NAV -y a eso le agregamos la pedorra pero útil “blocked senders list” del OE- hizo que nunca pasara nada de nada.
El Zone Alarm tiene una feature bastante interesante: renombra los archivos “sospechosos” dándoles la extensión .zl9, neutralizándolos en cierto modo.
Otro programa muy recomendable para cualquier script mal parido es el Watchdog, viejo pero efectivo. Era una de las viejas power tools del desaparecido sitio WinMag.com. Quizás lo puedan encontrar todavía en http://www.karenware.com... o no
Uy man.. cierto.. el WatchDog era de lo mejorcito, pero es uno de esos que cuando hice un formateo paso a mejor vida ;)
Lo del Zone Alarm .. vos usas la versión free? Yo si.. y la verdad es muy buena.. sobre todo cuando estas en algun IRC raro y te tratan de acceder mil veces a la PC
Ejem… no uso la versión free, uso “la otra” (bueno, nadie es perfecto, aunque me da un poco de cosa robarles a los de ZoneLabs… no es lo mismo que meter un serial para el FIFA o algo así). Es grosso el ZA, estamos de acuerdo, aunque en la última versión -la 3.x- se pasaron un poco de rosca con los colores pastel del GUI.
Otra cosa interesante del ZA es que se lo puede complementar con otro programejo, el ZoneLog Analyser, que te vuelca todo el log de supuestos “intrusos” y te lo discrimina por tipo de “ataque” o puerto.
Yo el Watchdog todavía lo conservo, si te interesa te lo mando por mail o algo (es bastante livianito).
Jajaja… totalmente de acuerdo, en algunos casos conseguir el crack o el serial tiene un gustito amargo ;)
El Zone Log Analyzer me trajo un par de problemas hasta que lo entendí.. sobre todo el de las IP dinamicas que (caso fibertel) era imposible saber si una maquina era siempre la que trataba de accederme (onda Santa Cruz-Riquelme ;)
Dale… si podes mandamelo por mail… a gott@uberbin.com
Saludos :)