|
W32/Kalel.B@MM, W32/Rockefeller@MM, I.worm.Kalel.B@mm
Kalel.B es un gusano/backdoor residente en memoria, reportado el 06 de Junio del 2005 de propagación masiva a través de un mensaje de correo con formato determinado. Se difunde además vía la redes Peer to Peer.Se auto-envía a buzones de correo de archivos extraídos de los sistemas infectados o de los capturados en los portales de Google y Search.Yahoo.
El gusano se ejecuta en forma permanente en el "background", captura las teclas digitadas y activa un servidor Backdoor que hará uso de cualquier servicio de Internet o puerto TCP abierto para permitir que un intruso tome el control de los sistemas en forma remota.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos del sistema infectado o los extraídos de dos conocidos sitios en la web.
El mensaje tienen el siguiente formato:
Asunto: **WARNING** Mailbox Suspension
Contenido: This message was created automatically by mail delivery software (TMDA) - do not reply.
In order to safeguard your mailbox from unexpected termination, please read the attached document.
++ Attachment: No Virus found
++Norton AntiVirus
http://www.symantec.com
Anexado: [nombre_aleatorio].EXE
Al activarse el muestra una falsa caja de diálogo:
luego se copia a la carpeta %System% con los siguientes nombres:
Para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Service Controller" = "%System%\services.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MS Security Authority Service" = "%System%\lsass.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Session Manager Subsystem" = "%System%\smss.exe"
Al siguiente re-inicio se conecta a www.google.com y search.yahoo.com para capturar direcciones de correo, libera y copia a la carpeta %System% los archivos que contienen una copia del gusano:
también copia a esa misma carpeta los siguientes archivos que contienen una copia de los anteriores, pero en formato Uuencode:
finalmente copia el archivo de texto ROCKEFELLER.DAT que contiene la cadena:
| W32.Rockerfeller@MM+P2P+BACKDOOR+KEYLOGGER |
Aleatoriamente el gusano puede además copiar a la carpeta %System% los archivos:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para propagarse a través de las redes Peer to Peer se copia a las siguientes rutas:
C:\My Downloads\
C:\My Shared Folder\
C:\program files\Ares\My Shared Folder\
C:\program files\BearShare\Shared\
C:\program files\direct connect\received files\
C:\program files\eDonkey2000\incoming\
C:\program files\eMule\Incoming\
C:\program files\gnucleus\downloads\
C:\program files\gnucleus\downloads\incoming\
C:\program files\grokster\my grokster\
C:\program files\grokster\my shared folder\
C:\program files\icq\shared files\
C:\program files\KaZaa Lite\My Shared Folder\
C:\program files\KaZaa\My Shared Folder\
C:\program files\KMD\my shared folder\
C:\program files\limeWire\shared\
C:\program files\Morpheus\my shared folder\
C:\program files\rapigator\share\
C:\program files\shareaza\downloads\
C:\program files\StreamCast\Morpheus\my shared folder\
C:\programmi\Ares\My Shared Folder\
C:\programmi\BearShare\Shared\
C:\programmi\direct connect\received files\
C:\programmi\eDonkey2000\incoming\
C:\programmi\eMule\Incoming\
C:\programmi\gnucleus\downloads\
C:\programmi\gnucleus\downloads\incoming\
C:\programmi\grokster\my grokster\
C:\programmi\grokster\my shared folder\
C:\programmi\icq\shared files\
C:\programmi\KaZaa Lite\My Shared Folder\
C:\programmi\KaZaa\My Shared Folder\
C:\programmi\KMD\my shared folder\
C:\programmi\limeWire\shared\
C:\programmi\Morpheus\my shared folder\
C:\programmi\rapigator\share\
C:\programmi\shareaza\downloads\
C:\Programmi\StreamCast\Morpheus\my shared folder\
C:\shared\
PER ANTIVIRUS® versión 9.3 con registro de virus al 06 de Junio del 2005 detecta y elimina eficientemente este gusano/backdoor.
