01 - El Klez-Elkern y su significado actual como amenaza genérica - 15/05/2002


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Una experiencia personal. Hace poco más de 15 días tuve el privilegio de ver un par de archivos .rar desconocidos en un directorio de unos de mis discos. No fue sorpresa, luego de un par de minutos, comenzar a recibir alertas de mi antivirus preferido. Las mismas se referían a los archivos mencionados y a algunos mails que llegaban a mis casillas.

Inmediatamente comencé una rápida rutina de "búsqueda y destrucción" de archivos .RAR desconocidos o de cualquier otro con doble extensión (tipo .tif.rar o .mp3.rar). Sin buscar demasiado establecí que los directorios que contenían estos archivos estaban compartidos a la red, con permisos de escritura y sin password.

Para entonces, la llegada de mails era bastante mayor, lo que permitió establecer que el "regalito" estaba dentro de la organización, se enviaba por mails y se replicaba (rápido, muy rápido) a los directorios compartidos.

El análisis estableció que se trababa del gusano W32/Klez.h (que algunos antivirus identifican como Klez.i o Klez.gen), cuya primera versión fue detectada en octubre de 2001 en Asia.

Este gusano tiene, efectivamente, las propiedades de propagación mencionadas, además de explotar una vulnerabilidad, detectada hace 3 meses, del Internet Explorer en sus versiones menores al 6.0 y que no han sido parcheadas.

Pero, lo destacable y peligroso reside un que esta caja de Pandora, al abrirse, deja libre un virus del tipo Payload y con algunas propiedades de polimorfismo. Este virus es W32/elkern y sus primeras versiones también acompañaban al Klez hace 6 meses.

La confusión creada por el gusano y el virus, la inexperiencia de los administradores de la red, la falta de una política fuerte de seguridad y la premisa de que los sistemas no debían ser desconectados de la red; ayudaron a su rápida propagación.

Muchos de los antivirus estaban (estaban?) desactualizados y aquellos que lo estaban no brindaron una respuesta eficiente y ni siquiera eficaz al problema. La solución definitiva tardo 5 días, en los cuales se invirtieron muchas horas hombre utilizando una combinación de herramientas del tipo fix, antivirus, trabajo manual y... apagado de computadoras por prevención.

Este trabajo dejó un rastro de servidores caídos, programas inutilizados, servicios no prestados, pérdida de dinero, dejar de ganar dinero y, sobre todo pérdida de confianza por parte de los clientes, quienes ven a la organización como poco confiable.

Lamentablemente, más de un usuario se habrá visto identificado con esta anécdota. Ahora, es hora de preguntarnos que nos enseña:

1. Dos virus relativamente antiguos, y sin ninguna innovación técnica, son capaces de vulnerar antivirus actualizados. Ni siquiera hablo de una eliminación adecuada, hablo de una identificación exacta. También sus técnicas heurísticas, tan publicitadas, se quedan en ello: publicidad.

2. Tanto el virus como el gusano, fueron descubiertos 6 meses atrás, pero las empresas antivirus tardaron de 3 a 7 días en brindar una respuesta de detección-identificación-reparación completa. Esto supone una problemática actual enorme: las empresas antivirus nos brindan una solución a medias, no brindan una solución o nos mienten al decirnos que lo hacen.

3. La "solución" de Microsoft cuenta con mas un año de antigüedad (marzo de 2001). Esto significa que los administradores no prestamos atención a problemas graves, como ser: el parcheado de un sistema vulnerable o la búsqueda de nuevas alternativas como por ejemplo un cliente de correo que no ejecute scripts dañinos.

4. Los empresas fabricantes de software se conforman con brindar una solución posterior a la aparición del problema, cuando el verdadero énfasis debería ser puesto en prevenir.

5. Es difícil mantener actualizados una gran cantidad de sistemas, educados una gran cantidad de usuarios y entrenados a los administradores, pero esto se convierte en vital en casos como los descriptos.

6. Poseer un antivirus no es una política de seguridad aceptable ni admisible, y mucho menos si ello va acompañado de la falsa ilusión de seguridad que estos brindan.

7. La seguridad debe abarcar una política de backup y contingencia adecuada que asegure el normal funcionamiento de una empresa en forma 24 x 7 x 365.

8. El sentido común, la educación y el conocimiento de las amenazas y las herramientas para combatirlas son el mejor aliado; no la tecnología en sí misma.

Parche de Microsoft que soluciona la vulnerabilidad en extensiones MIME del IE

http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP

http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

VirusAttack

http://virusattack.xnetwork.com.ar/especiales/kleze.php

http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=42

http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=345

http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=165

http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=112

VSAntivirus

http://www.vsantivirus.com/vulms01-020.htm

http://www.vsantivirus.com/klez.htm

http://www.vsantivirus.com/faq-klez.htm

http://www.vsantivirus.com/elkern-a.htm

http://www.vsantivirus.com/elkern-b.htm

http://www.vsantivirus.com/elkern-c.htm

http://www.vsantivirus.com/klez-credibilidad.htm

http://www.vsantivirus.com/faq-reglas-klez.htm

http://www.vsantivirus.com/02-05-02.htm

Antivirus

PE_ELKERN.C

WORM_KLEZ.I

Norton

[email protected]

w32.elkern.3326.html

Panda

W32KlezI.htm

El Klez, primero en el Top Ten de abril de 2002

Network Associates

W32/Klez.I

W32/Elkern.C

Buenos Aires, 15 de mayo de 2002



Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto