Klez.I está diseñado para propagarse rápidamente a través del correo electrónico. Concretamente, el usuario recibe un e-mail que adjunta dos ficheros. Uno de ellos tiene un nombre variable, compuesto por tres letras y cuatro números, y la extensión PIF, BAT, EXE o SCR. Por su parte, el segundo archivo recibido puede tener cualquiera de las siguientes extensiones: .txt, .htm,.html, .wab, .asp, .doc, .rtf, .xls,.jpg,.cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3, .mp8, .pdf.
El asunto y cuerpo del mensaje del correo electrónico recibido es muy variable, y ambos se seleccionan de entre una extensa lista de opciones, las cuales pueden ser consultadas en la dirección:
http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=W32/Klez.I.
Si el virus Klez.I se autoejecuta, debido a una vulnerabilidad existente en el navegador Microsoft Internet Explorer, o el usuario hace click sobre el fichero que contiene el gusano, éste se envía, a través de una conexión SMTP, a todas las entradas de la libreta de direcciones de Windows y a cualquier otra que se encuentre en el equipo. Además, tiene la capacidad de cambiar la dirección del remitente aleatoriamente por cualquiera de las que Klez.I haya detectado en el sistema.
Al mismo tiempo, el gusano crea un archivo llamado WINK*.EXE en el directorio de sistema de Windows, que en realidad es una copia de si mismo. Por otra parte, crea otro fichero de nombre aleatorio en el directorio «archivos de programas» de Windows, que es otro virus conocido como W32/Elkern.C cuyo cometido es infectar ficheros ejecutables (PE) en el equipo.
Además, Klez.I tiene la capacidad de detener algunos procesos que, en ese momento, se encuentren en memoria y que pueden afectar al funcionamiento de determinadas aplicaciones, entre las cuales se encuentran algunos antivirus. Sin embargo, esto no afecta al funcionamiento de las soluciones contra códigos maliciosos de Panda Software.
Finalmente, el gusano crea una entrada en el registro de Windows, con el objetivo de asegurar su ejecución cada vez que se reinicie el sistema.
Los antivirus de Panda Software detectan y eliminan eficazmente tanto el gusano Klez.I como el virus W32/Elkern.C, por lo que se aconseja a los usuarios que actualicen sus soluciones antivirus, lo cual pueden hacer desde la dirección http://www.pandasoftware.es.
Además, cualquier usuario cuyo equipo haya resultado afectado por Klez.I, puede descargar la herramienta de desinfección gratuita PQREMOVE disponible en la dirección:
http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=W32/Klez.I., donde también puede encontrarse información detallada y en profundidad sobre este virus.
Finalmente, Panda Software recuerda la conveniencia de instalar el parche proporcionado por la compañía Microsoft en la dirección:
http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP, que corrige la vulnerabilidad que el virus utiliza para autoejecutarse.
