22 lipca 2002

I-Worm.Kitro - wykorzystują sieć Kazaa oraz pocztę elektroniczną

Jest to rodzina robaków internetowych rozprzestrzeniających się poprzez pocztę elektroniczną oraz sieć Kazaa. Wszystkie wersje wirusów pobierają adresy e-mail z listy kontaktów programu .NET Messenger.

Wiadomości wysyłane przez robaki (przy użyciu bezpośredniego dostępu SMTP do serwera "mail.hotmail.com") posiadają różne tematy, treści oraz załączniki.

I-Worm.Kitro.a

Ta wersja robaka rozprzestrzenia się tylko poprzez pocztę elektroniczną. Wirus ma postać pliku EXE o rozmiarze 220160 bajtów.

Instalacja

Robak kopiuje się do następujących katalogów:

  • c:\system32.exe;
  • c:\archiv~1\psycho.scr;

Szkodnik tworzy klucz rejestru dla kopii zapisanej w głównym katalogu dysku C:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run msn=c:\system32.exe

Wirus gromadzi informacje o adresach e-mail poprzez odczytywanie wartości "Allow" z klucza rejestru:

HKEY_CURRENT_USER\Software\Microsoft\MessengerService\
ListCache\.NET Messenger Service
V alue names: Allow0, Allow1, etc.

Szkodnik zapisuje zgromadzone adresy w pliku "kiltro.dat" tworzonym w bieżącym katalogu.

Do wiadomości wysyłanych przez wirusa załączony jest plik "Psycho.scr".

Jeżeli robak wykryje własną aktywną kopię, ukrywa zasobnik systemowy i wyświetla następujące komunikaty:

KILTRO * MSNWorm
Programado en Santiago de Chile por 4D2

KILTRO * MSNWorm
ĄĄĄVIVA SUDAMERICA!!!, ĄĄĄVIVA SIN YANKIS INVASORES!!!

KILTRO * MSNWorm
GUERRA AL SIONISMO

KILTRO * MSNWorm
CRACKING, MARIGUANA & PsichoBilly

KILTRO * MSNWorm
UN SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPATA EL CAURO!!!), y pa mi compaire ALSINO

Psycho!!!
SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA

Dodatkowo robak wyświetla fałszywy komunikat o wystąpieniu błędu:

WINDOWS
Error en resolucion

Funkcje dodatkowe

Robak tworzy pliki tekstowe "c:\windat.vxd" oraz "c:\windat.dll" o następującej zawartości:

Programado en Santiago de Chile por ErGrone

I-Worm.Kitro.b

Ta wersja robaka rozprzestrzenia się zarówno poprzez pocztę elektroniczną, jak również w sieci Kazaa. Z powodu błędów znajdujących się w kodzie wirusa może on nie uruchamiać oraz nie rozprzestrzeniać. Robak ma postać apletu panelu sterowania (rozszerzenie .CPL) o rozmiarze 236032 bajtów.

Instalacja

Robak kopiuje się do folderu Windows oraz do katalogu głównego dysku C: z losową nazwą składającą się z cyfr oraz z rozszerzenia .CPL (przykładowo "832.cpl"). Wirus tworzy dla swojej kopii następujący klucz rejestru systemowego:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(nazwa pliku robaka ) = rundll32.exe shell32.dll,
Control_RunDLL (nazwa pliku robaka)

Przykładowo:

832.cpl = rundll32.exe shell32.dll,Control_RunDLL 832.cpl

Rozprzestrzenianie

Robak pobiera adresy e-mail z listy kontaktowej programu .NET Messenger i zapisuje je w plikach "commfig.sys" oraz "K32.vxd" tworzonych w folderze Windows. Następnie wirus próbuje wysyłać zainfekowane wiadomości pod pobrane adresy, jednak z powodu błędu znajdującego się w jego kodzie operacja ta może zakończyć się niepowodzeniem.

Funkcje dodatkowe

Robak próbuje wyłączyć programy antywirusowe Kaspersky Anti-Virus oraz Panda Anti-Virus poprzez zapisywanie następujących kluczy rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run PAV.EXE = (ścieżka dostępu do folderu Windows)

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles
Folder = (ścieżka dostępu do folderu Windows)

Ponadto wirus próbuje zamknąć okna posiadające tytuł "Panda ActiveScan - Microsoft Internet Explorer" oraz usunąć następujące pliki:

  • (Katalog współdzielony programu Kaspersky Anti-Virus)\Bases\avp.set;
  • C:\archiv~1\perav\pav.dll;
  • C:\archiv~1\perav\per.dll;
  • C:\program files\perav\pav.dll;
  • C:\program files\perav\per.dll;
  • (ścieżka dostępu do folderu Windows)\vshield.vxd;
  • (ścieżka dostępu do folderu Windows)\system32\vshield.vxd.

I-Worm.Kitro.c

Ten robak jest bardzo podobny do wersji I-Worm.Kitro.b. Ma postać apletu panelu sterowania, a jego rozmiar to 545792 bajtów lub 236032 bajtów (w postaci spakowanej). Procedura instalacji jest identyczna jak w przypadku robaka I-Worm.Kitro.b.

Rozprzestrzenianie: sieć Kazaa

Robak tworzy swoje kopie we współdzielonym folderze programu Kazaa lub w katalogu głównym dysku C:. Nazwa kopii jest wybierana z następującej listy:

DivResidentEvil.ZIP.cpl; SpidermanDesktop.cpl; AVP_KeyActualization2002.ZIP.cpl; Messenger_skins.ZIP.cpl; Porno_sTar.cpl; CannibalCorpse.MP3.cpl; Sickofitall.Zip.cpl; AXEbahia.cpl; NuevosVideosProfesorRossa.cpl; NewVideo_Blink182.cpl; LagWagon&Blink182.cpl; Hacking.cpl; AllMcAfeeCrack.Cpl; Britney_spearsVSDavidBeckham_AnalPasions.cpl; Crack.PerAntivirus.Zip.cpl; JamieThomasVSrodneyMullen.cpl; MariguanaDesktop.cpl; AgeOfEmpires2_Crack.cpl; PSX2_Emulation.Zip.cpl; GameCube.Zip.cpl; Mames.Zip.cpl; Crack_Delphi5and6.Zip.cpl; terminator2.cpl; BinladenFuckinBillGates.cpl; AnalPasswords.cpl; ElvisDesktop.cpl; B.cpl; Z.cpl; AVP_Spanish.cpl; ZoneAlarmCrack.cpl; HardXCore.cpl; PhotoShop6.xCrack.cpl; BioHazard.cpl; VisualBasic.Net.cpl; Zidane.Taliban.cpl; VideoPortoSeguro.cpl; PSX2EmulatorFree.Zip.cpl; sexo_en_la_calle.cpl; sexo_anal_full_video.cpl; sexo_oriental_full_video.cpl; muertes_videos.cpl; fullvideo_anal_action.zip.cpl

Rozprzestrzenianie: wiadomości e-mail

Procedura wysyłająca zainfekowane wiadomości e-mail jest bardzo podobna do funkcji wykorzystywanej przez poprzednie wersje robaków. Wirus wysyła wiadomości pod wszystkie adresy pobrane z listy kontaktów programu .NET Messenger. Wiadomości mogą posiadać różne tematy oraz treści. Nazwa załącznika wybierana jest z następującej listy:

zorrita.cpl; jack.cpl; sickofitall.cpl; analpasswords.cpl; poema_angelical.cpl; testdeamor.cpl; Adulterio_en_tus_narices.cpl; Cristo.cpl; mundial.cpl; cristo2002.cpl; postal_de_mi_alma.cpl; estesoyyo.cpl; milposiciones.cpl; como_como.cpl; por_ahi_noooooo.cpl; lomasimportante.cpl; vidaymuerte.cpl; siemprevivir@setnet.cpl; milvidas.cpl; comoolvidarte.cpl; paulinasex.cpl; mentiras_en_hotmail.cpl; listado_de_hoaxes.cpl; zapato_en_el_culo.cpl; binladenDT.cpl; gooooooool.cpl; Fifaladen.cpl; 788782.cpl; secretarias.cpl; test_secretontas.cpl; sere_yo_uno_de_esos.cpl; scarycrai.cpl; mentiras_mails.cpl; mcaffehoaxlist.cpl; tetris2002.cpl; zandias_meloones.cpl; quien_como_tu.cpl; portymore.cpl; listado_de_porquerias.cpl; billgatesscream.cpl

Przykładowe tematy wiadomości:

Esta si que es zorra!!!; Fotos de asesinatos, Jack el Destripador, Charles Manson, y muchos mas para decorar tu escritorio; Yeahhh Mutha Facka... NY Brookling in your NE; Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno; Para los verdaderos amigos...; Test de amor; 30 pregutas para saber si tu pareja te engaa; La imagen de cristo en un bosque; mira como seria un mundial en la antigua mesopotamia; Fotos de Cristo para decorar tu escritorio; Te han enviado una postal; Te acuerdas de mi?; Asi se hace el amor...; Asi me gusta a mi...; Esto doleria mucho, mucho :-); Si esto no me lo regresas me sentire mal; La vida despues de la muerte; Me cambie de correo, aver si ahora me escribes...; Leelo y reenvialo a quienes mas amas; Cancion de amor, para ti; Paulina Rubio y su zorrita cosmica...; No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto; Ver el listado de falsas alarmas; ja, la han cagado con este video; Bin Laden DT de la seleccion de arabia...; Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa; Bin Laden presidente de la FIFA; Dime que te parece esta animacion; Una broma para las secretarias, ja ja; Test para secretarias, para saber que tan tontas son; 41 preguntas para saber si alguien es sicopata; mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa; listado de ultimas mentiras que circulan por los mails; Last hoaxes list; Hola; como te gustarian este par de tetitas; Leelo y reenvialo a quienes mas amas; mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa; listado de ultimas mentiras que circulan por los mails; Bin Laden killing muthaFaka bill gates.

Przykładowe treści wiadomości:

  • si viste una mejor o la tuviste, es por que eres un guru. yaaaaaaaaa. nos vemos.
  • dale un toque al escritorio, unos cadaveres por iconos, manson como fondo de escritorio, muy bueno.
  • HXC Sick Of It All.
  • si pues, con esto mete un nombre de usuario y te da un password segun la pagina que seleccionaste, hasta hoy funciona, ojala que dure un tiempo mas, saludos.
  • un amigo es muy dificil encontrar, pero tu eres uno de esos, la fortuna esta conmigo.
  • leelo y luego me dices que tan enamorado estas o si es solo calentura ja ja ja.nunca esta demas saberse estas cosillas, je je.
  • uno de los tantos milagros?, la imagen de cristo plasmada entre los arboles.
  • jugando con craneos, el mejor ataque cortarle las manos al arquero, je je.que mas hermoso que cristo en tu oficina o en tu hogar.postales.net Service.
  • si no me recuerdas ni siquiera mirando la foto, es porque el vino era muy bueno :o).
  • uuuuuuf,uufufufufufufuf, cuantas maneras de hacerlo, no?, derrepente no conoces muchas de estas.
  • podrias complacerme?. habria que verlo y saberlo.
  • si crees lo contrario eres masoquista.
  • lee el archivo y sabras a quienes aprecias, sabras quienes son tus amigos.
  • una interesante tesis sobre este tema de conversasion que nunca pasa de moda.
  • sigo teniendo fe en que lo hagas.
  • cristo esta en todas partes, el amor tambien pues ambos son uno.
  • una cancion es lo que ahora puedo dedicarte, mas tarde una flor y si lo permites quizas mi imaginacion.
  • uuuuuuu, que perra mas rica żo no?.
  • es verdad, lee este documento y hecha a la basura todos esos mitos que circulan.
  • no todo lo que dicen es cierto, lee el documento y no te dejes engańar por falsas alarmas.
  • no se donde catalogarian este video, gore,chiste, terrorcomico, o simplemente quemierda, ja ja.
  • si no se puede ganar con futbol, entonces con delanteros suicidas ja ja, mira la foto.
  • no hay mejor ataque que un delantero con fusil, ni romario jio.
  • de seguro la seleccion yanki desaparece asi como la judia.
  • viste la de los huevos poetas, esta esta dirigida por el mismo director, je je.
  • nunca esta demas hacerle pasar un sustillo, żcierto?.
  • Test para secretarias, para saber que tan tontas son.
  • derepente eres uno del clan, si es asi unete a nosotros.
  • simplemente ordinario, en serio.
  • ya sabes todas esas porquerias de envialo a tus amigos, borra esos archivos, todos esos, leelos pa estar al dia.
  • in this document, all hoax that circulates until the day of today.
  • por favor lee el archivo y si puedes cooperar de alguna forma, una nińa te lo agradecera.
  • sin comentarios. quede mudo.
  • creo que algo mas ordinario que eso seria un mojon sin choclo, ja jaja.
  • el listado actualizado de todas esas porquerias que llenan nuestros e-mails
  • this is one of the best photos fixed with photoshop, in fact the best one.

I-Worm.Kitro.d

Ten robak jest bardzo podobny do wersji I-Worm.Kitro.b. Ma postać apletu panelu sterowania, a jego rozmiar to 169984 bajtów

Instalacja

Robak kopiuje się do folderu Windows z następującymi nazwami:

PostalDeAmistad.pif; Cristo_Nos_Enseńa.Doc.pif; Listado.txt.by.Microsoft.com; List.txt.by.Microsoft.com; PostalDeAmistad.pif; Facturas556.XLS.pif; EnLosAndes.pif; YaNoPuedoSerYoMismo.DOC.pif; ReparacionDeMessenger.DOC.pif; TestDeAmoryAmistad.DOC.pif

Następnie wirus uruchamia jedną z utworzonych kopii. Dodatkowo szkodnik losowo wybiera kilka kopii i tworzy dla nich klucze rejestru systemowego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run BNexe = (jedna z powyższych nazw)
Zonavirus = (ścieżka dostępu do kopii robaka)

W niektórych przypadkach wartość "Zonavirus" może być zastąpiona bieżącym czasem.

Ponadto wirus kopiuje się do katalogu głównego dysku C: z nazwami "c:\zonavirus.Dll" oraz "C:\Bn.exe".

Podczas instalacji robak wyświetla na ekranie fałszywy komunikat o wystąpieniu błędu:

Error
Not recognized error (losowo wygenerowany numer)H

Rozprzestrzenianie: sieć Kazaa

Robak tworzy swoje kopie we współdzielonym folderze programu Kazaa lub w katalogu głównym dysku C:. Nazwa kopii jest wybierana z następującej listy:

AVP40Crack.exe; ResidentEvil-Crack.exe; AVP-SpanishPatch.exe ; PandaAllCracks.exe; SexoenlaCalle-Video.exe; Sexo-Asiatico-FullVideo.exe; MessengerSkins29.exe; HackTools.exe; MP3EncoderDecoder58.exe; GameCube-FreeEmulator.exe; PSX2-Emulator.exe; X-Box_Emulator.exe; PSXEmulator_Full.exe; CounterStrikeMoreServers.exe; Jedi2-FullCrack.exe; W98ToXpActualization.exe; WindowsXP-Serials.exe; GamesPSX2Emulator.exe; CopyPSXgamesV12.exe

Robak nadpisuje własnymi kopiami wszystkie pliki zapisane we współdzielonym katalogu programu Kazaa, a dla jednego z nich tworzy klucz rejestru systemowego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run KAZAAkCuF9=(nazwa nadpisanego pliku)

Rozprzestrzenianie: wiadomości e-mail

Procedura wysyłająca zainfekowane wiadomości e-mail jest bardzo podobna do funkcji wykorzystywanej przez poprzednie wersje robaków. Wirus wysyła wiadomości pod wszystkie adresy pobrane z listy kontaktów programu .NET Messenger. Wiadomości mogą posiadać różne tematy oraz treści. Nazwa załącznika wybierana jest z następującej listy:

PostalDeAmistad.pif; Cristo_Nos_Enseńa.Doc.pif; Listado.txt.by.Microsoft.com; List.txt.by.Microsoft.com; PostalDeAmistad.pif; Facturas556.XLS.pif; EnLosAndes.pif; YaNoPuedoSerYoMismo.DOC.pif; ReparacionDeMessenger.DOC.pif; TestDeAmoryAmistad.DOC.pif

Przykładowe tematy wiadomości:

Te han enviado una postal; Leelo y reenvialo a quienes aprecias; Listado de falsas alarmas; This is a last hoax list; Para los amigos; Facturas; Fw: Enviame tu foto; Es posible que nos roben la identidad; Messenger vulnerable; 77:Test de amor

Przykładowe treści wiadomości:

  • Postales NetWork (c)1999-2002.
  • Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueńo se hara realidad.
  • Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
  • I send the list of false alarms, so that you do not make case to the lies bye.
  • Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
  • bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje.
  • lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.
  • si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
  • Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.