Win32.Kitro.A@mm

de: Stiri Apropo.ro
19 02. 2002, 10:54
Nume: Win32.Kitro.A@mm Alias: I-Worm.Kitro (KAV) Tip: Executable Mass Mailer Lungime de cod: 220160 bytes Descoperit: February 18, 2002 Detectat: February 18, 2002, 12:00 (GMT+2) Raspandire: Medie Risc: Scazut ITW: Unknown Simtome: - Fisierul c:\\system32.exe, C:\\Archivos de

Nume: Win32.Kitro.A@mm
Alias: I-Worm.Kitro (KAV)
Tip: Executable Mass Mailer
Lungime de cod: 220160 bytes
Descoperit: February 18, 2002
Detectat: February 18, 2002, 12:00 (GMT+2)
Raspandire: Medie
Risc: Scazut
ITW: Unknown

Simtome:
– Fisierul c:\\system32.exe, C:\\Archivos de programa\\psycho.scr
– Fisierul kiltro.dat
– Fisierul c:\\windat.vxd, c:\\windat.dll

Descriere Tehnica:

Win32.Kitro.A@mm este un vierme de internet care se raspandeste folosind contactele de e-mail din .NET Messenger Service. Fisierul este un executabil arhivat cu UPX, programat in Delphi. Nearhivat are o lungime de 500K
Fisierul vine ca un atasament numit psycho.scr intr-un e-mail cu urmatorul format:

From: Droga Virtual

Hey, Droga Virtual… Pues con este Protector de pantalla podras alucinar
como si estubieses bajo el LSD ademas del Peyote.

Ya no hace falta gastar dinero para ver colores e imagenes de otra
dimension.

Vamos unete a los psicoticos de la red, pero Atencion, no dejes la
mariguana!!!.
Attachment: psycho.scr

Daca un utilizator executa atasamentul, virusul se va inregistra ca un serviciu (folosind o functie API specifica pentru Windows 95/98/ME), apoi se va copia sub numele de c:\\system32.exe, C:\\Archivos de programa\\psycho.scr (al doilea fisier va functiona numai in versiunea spaniola a Windowsului).

Virusul va inregistra cheia:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\msn
„c:\\system32.exe”
pentru a fi repornit de fiecare data cand victima se logheaza.

Creaza fiserul kiltro.dat cu toate numele din .NET Messenger Service. Un mesaj e-mail va fi trimis la toate aceste adrese cand utilizatorul se va conecta la Internet prin Dial-Up. Daca mesajele sunt trimise si data calendaristica se incadreaza intre Aprilie si Decembrie, virusul va afisa mesaje cu titlul KILTRO * MSNWorm si texte de genul:

– Programado en Santiago de Chile por 4D2
– !!!VIVA SUDAMERICA!!!, !!!VIVA SIN YANKIS INVASORES!!!
– GUERRA AL SIONISMO
– CRACKING, MARIGUANA & PsichoBilly
– N SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPANA EL CAURO!!!), y pa mi compaire ALSINO’,0
– SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA

Dezinfectie:
– Pentru dezinfectia manuala este necesar sa stergeti din registrii cheia aratata mai sus.
– Dezinfectie autamata: setati BitDefenderul sa stearga fisierele pe care le gaseste infectate.

Virus analizat de
Costin Ionescu
BitDefender Virus Researcher

Articole recomandate