La saga del virus 'Klez' causa en Internet la mayor epidemia de los últimos tres años

Un virus, siete mutaciones, y el dudoso honor de pasar a la historia como la hasta ahora segunda mayor epidemia de la historia de Internet. Ése es el balance que ha dejado a su paso Klez, un espécimen sin exagerados artificios tecnológicos al que, sin embargo, le han bastado cuatro meses para pulverizar los registros estadísticos establecidos por otros patógenos. Sólo un gusano de origen francés, Happy99, ha conseguido infectar más millones de ordenadores que Klez... hasta la fecha.

Es la plasmación en cifras del peligro que representan las epidemias a largo plazo (más conocidas como plagas) frente a los brotes infecciosos a corto plazo. Así, virus como Melissa, I love you o Nimda pueden contagiar dos millones de ordenadores en tres o cuatro días, pero la situación de alerta causada por las compañías antivirus y las propias características de su genética digital impiden que el ritmo de propagación no decaiga bruscamente antes de alcanzar su primera semana de vida en la red.

Los virus responsables de plagas, en cambio, raramente registran picos de actividad especialmente notorios; se cobran un número más o menos significativo de víctimas día a día, y así sobreviven en Internet durante meses o años, acumulando guarismos hasta quince veces superiores a los establecidos por otros patógenos más conocidos entre los usuarios. Éste es el caso de Klez, que sigue la ya desvanecida estela de Happy99, cuya erradicación ha durado casi tres años.

Klez, de origen asiático, es un virus de unos 60 kilobytes de tamaño programado en C++, un asequible lenguaje al que se le debe la inmensa mayoría de las aplicaciones de uso cotidiano. Su vía de propagación es el correo electrónico, pero los mensajes en los que se difunde no son fácilmente identificables, ya que el patógeno elige asuntos, textos y nombres de adjuntos al azar de entre una larga lista de posibilidades.

El virus Klez aprovecha un agujero de seguridad propio de Windows que le permite autoejecutarse sin necesidad de que sus destinatarios corran el archivo anexo: basta con leer un e-mail portador para que el sistema, si no está debidamente parcheado, quede infectado.

El uso de monitores antivirus no es, en este caso, garantía de seguridad. El especimen, una vez activado, hace un barrido de la memoria del sistema en busca de aplicaciones que puedan hacer peligrar su integridad y, en caso de encontrar alguna, la descuelga y con ello anula su efectividad.

Entre la lista negra de una de las mutaciones del patógeno se encuentran además los virus Sircam, Nimda y Código rojo, a los que Klez, en un ejercicio enrevesado de genocidio y fratricidio, elimina de la máquina.

El gusano inicia entonces su ciclo de propagación: primero busca unidades de red local compartidas y, en caso de encontrarlas, se instala en ellas; después, procesa las libretas de contactos del usuario infectado, con el fin de procurar nuevas direcciones de correo a las que enviarse. El proceso, que puede involucrar cientos o miles de destinatarios, no suele durar más que segundos o, en los ordenadores más lentos, dos o tres minutos.

Las diferencias entre la versión original de Klez (conocida como Klez.a) y su séquito de siete mutaciones (desde Klez.b hasta Klez.h, la más frecuente en España) quedan patentes a partir de nimios matices, como la lista de posibles asuntos y nombres de destinatarios. Según el Centro de Alarmas Tempranas, las versión G ha provocado el 21,8% de sus incidencias, y la versión F, el 4,6%.

Pero también, aunque insignificantes en cuanto a la morfología vírica, existen otras diferencias de consecuencias especialmente trascendentes: mientras que Klez.h airea información personal de sus víctimas al adjuntar de manera esporádica archivos personales como fotos, documentos u hojas de cálculo a los mensajes portadores de sus copias, las demás mutaciones destruyen los datos del disco duro los días 6 (Klez.e) o 13 (demás versiones) de cada mes impar.

Difícil freno

Frenar la expansión de Klez no parece tarea fácil, pero tampoco imposible. La piedra angular de toda prevención es, probablemente, la debida actualización del sistema por medio de la instalación de los parches de seguridad facilitados por Microsoft.

A partir de aquí, el sentido común y la prudencia del internauta son los protagonistas: hay que adoptar como norma la decisión de no ejecutar ningún archivo adjunto no solicitado, por atractivo o inofensivo que parezca, o por aparentemente fiable que sea su remitente. El propio Klez ha contagiado miles de máquinas haciéndose pasar por una vacuna para sí mismo o para otros especímenes.

Quienes crean haber sido infectados por este patógeno pueden descargar el antídoto facilitado de forma gratuita por la web de Kaspersky AntiVirus.

Asimismo, existen herramientas de filtración de virus, como Sybari, especialmente apropiadas para proveedores de acceso a Internet, que identifican y eliminan e-mails portadores antes de que éstos lleguen a ser procesados por los usuarios.