Hoy viernes dispara su payload dañino una de las versiones de Klez,
que tiene como fecha de activación cualquier día 6 correspondiente
a un mes impar. Sin embargo no se esperan incidentes masivos, ya
que dicha versión representa un índice muy bajo de las infecciones
producidas por la familia Klez.
Aventurarse a estas alturas a ponerle un “apellido” a las distintas
versiones derivadas del gusano Klez original puede ser toda una
odisea, porque no ha existido un consenso en su nomenclatura entre
las casas antivirus, lo que puede provocar cierta confusión.
La variante de mayor propagación, que representa más de un 95% de
los casos de infecciones por Klez, recibe mayoritariamente el nombre
de Klez.H, si bien Panda Software lo detecta como Klez.I, Dialogue
Science (Dr.Web) como Klez.4, eSet (NOD32) le llama Klez.J y H+BEDV
(AntiVir)lo identifica como Klez.E.
Bien, pues esta variante, la que está causando mayores quebraderos
de cabeza por su continua propagación (literalmente podríamos hablar
del spam causado por el Klez), no tiene payload que se active en una
fecha concreta, ya que en realidad no cuenta con ninguna rutina
específica de destrucción, sino que está optimizada sólo para
conseguir el mayor número de infecciones posibles.
Otra de las variantes, la que se activa todos los días 6 de los meses
impares, que ha conseguido una propagación mucho menor que la
anterior, es conocida por la mayoría de las casas antivirus como
Klez.E, si bien Panda Software lo detecta como Klez.F y Dialogue
Science como Klez.1. Esta variante, que sólo representa entre un
2 y un 4% de las infecciones de la familia Klez, es la que se
activa hoy disparando su payload que sobreescribe archivos con
determinadas extensiones.
bernardo@hispasec.com
Más información:
¿Infectado por “Klez.x”? Hora de cambiar de antivirus
http://www.hispasec.com/unaaldia.asp?id=1278
Deja un comentario