|
KELVIR.BA se propaga vía MSN Messenger descarga troyano/backdoor Spybot.OFN termina procesos, etc.
|
|
(c) Jorge Machado Lima-Perú
|
|
W32.Kelvir.BA, I.worm.Kelvir.BA
|
|
Kelvir.BA es un destructivo gusano reportado el 02 de Mayo del 2005, que se propaga a través de las listas de contactos del MSN Messenger. Descarga el troyano/backdoor Spybot.OFN
el mismo ejecuta una diversidad de acciones destructivas.
Explota las vulnerabilidades RPC/DCOM, LSASS, del Servidor MS SQL 2000 y desbordamiento del Buffer de Servicios de Estaciones de Trabajo descritas en los Boletines MS03-026, MS04-011 y MS02-061
e intenta ingresar a redes con recursos compartidos configurados con contraseñas débiles.
|
Termina los procesos y servicios de antivirus, firewalls y software de seguridad. El intruso tomará el control en forma remota de los sistemas infectados.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con extensión variable y comprimido con el
utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Para que la infección sea posible es necesario que el usuario esté conectado a una sesión de este servicio y haga click en el siguiente mensaje:
lol you'll like this
http://www.[dominio_removido].com]/downloads/gallery.php?email=%usuario_remitente%
inmediatamente descarga el troyano/backdoor W32.Spybot.OFN el cual se copia a la carpeta %System% como Run.exe, y para ejecutarse la próxima vez que se re-inicie el
sistema agrega el valor:
""Windows" = "%System%\run.exe"
a las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
%usuario_remitente% es la variable para la dirección de correo compuesta por un nombre aleatorio extraído de los sistemas infectados y el dominio del remitente previamente infectado.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
y para deshabilitar el DCOM agrega la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
"EnableDCOM" = "N"
para modificar el acceso a las redes con recursos compartidos
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous" = "1"
Al siguiente inicio del equipo deshabilita los procesos de los siguiente antivirus, firewalls y software de control:
- Event Log
- Zonealarm
- TrueVector Internet Monitor
- Norton Antivirus Auto Protect Service
- Norton Internet Security Accounts Manager
- Norton Internet Security Proxy Service
- Norton Internet Security Service
- Norton AntiVirus Server
- Norton AntiVirus Auto Protect Service
- Norton AntiVirus Client
- Symantec AntiVirus Client
- McShield
- IPSEC Policy Agent
- WMDM PMSP Service
- Symantec Proxy Service
- Symantec Event Manager
- Norton AntiVirus Corporate Edition
- ViRobot Professional Monitoring
- ViRobot Expert Monitoring
- savroam
- symantec antivirus
- ViRobot Lite Monitoring
- PC-cillin Personal Firewall
- Trend Micro Proxy Service
- Trend NT Realtime Service
- McAfee.com McShield
- McAfee.com VirusScan Online Realtime Engine
- McAfee Agent
- SyGateService
- Sygate Personal Firewall Pro
- Sophos Anti-Virus
- Sophos Anti-Virus Network
- Ahnlab Task Scheduler
- eTrust Antivirus Job Server
- eTrust Antivirus Realtime Server
- eTrust Antivirus RPC Server
- V3MonNT
- V3MonSvc
- Quick Heal Online Protection
- Kaspersky
- MCAFEE
- NORTON
- Kaspersky Anti-Virus
- Kaspersky Antivirus
- Kaspersky Client
- kaspersky auto protect service
- kav
- AVG6 Service
- AVP32
- LOCKDOWN2000
- AVP.EXE
- CFINET32
- CFINET
- ICMON
- SAFEWEB
- WEBSCANX
- ANTIVIR
- IOMON98
- PCCWIN98
- F-PROT95
- F-STOPW
- PVIEW95
- NAVWNT
- NAVRUNR
- NAVLU32
- NAVAPSVC
- NISUM
- SYMPROXYSVC
- RESCUE32
- NISSERV
- ATRACK
- IAMAPP
- LUCOMSERVER
- LUALL
- NMAIN
- NAVW32
- NAVAPW32
- VSSTAT
- VSHWIN32
- AVSYNMGR
- AVCONSOL
- WEBTRAP
- POP3TRAP
- PCCMAIN
- PCCIOMON
- MonSvcNT
- rising process communication center
- rising realtime monitor service
- OfficeScanNT Monitor
- RemoteAgent
- Panda Antivirus
- ZoneAlarm
- Detector de OfficeScanNT
- Norton Internet Security Proxy Srvice
- Norton Internet Security service
- Sygate Personal Firewall
- Security Center
- Windows Firewall
- officescannt listener
- Windows Internet Connection Sharing(ICS)
- NAV Alert
- NAV Auto-Protect
- ScriptBlocking Service
- Background Intelligent Transfer Service
- System Event Notification
- BlackICE
- AVSync Manager
- officescannt realtime scan
- services32 service: msinit
- msinit
- AVP control center service
- KAV Moniter Service
- P2P Networking
- gear security
- MastDLL
- MsInt
- MsIntScan
- FireBall
- FireBaum
- Eventask
- InternetFirewallProc
- Serv-U
- mcafee framework service
- task manager
- mcshield
- config loader
- iroff
- servu
- secur2
- avast! iavs4 control service
- avast! antivirus
- fix-it task manager
- dllhost
- dns
- fxsvc
- nvscv
- outpost firewall service
- scvhost
- syslock
- snake sockproxy service
- msclol2
- msclol8
- systemsecuritydll
- vnc server
- intel pds
- intel file transfer
- internet pr0tocol
- smss
- rundll
- serv-u-ftp
- Norton Unerase Protection
- AVG7 Alert Manager Server
- AVG7 Update Service
- kerio personal firewall
- Rising Process Communication Center
- Rising Realtime Monitor Service
- Kingsoft AntiVirus Service
- VNC server
- Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
- symantec central quarantine
- symantec quarantine agent
- symantec quarantine scanner
- psexesvc
- etrust antivirus rpc server
- etrust antivirus realtime server
- etrust antivirus job server
- remotely possible/32
- win32sl
- altiris client service
- pcanywhere host service
- carbon copy access edition
- directupdate engine
luego el Spybot.OFN se conecta a un canal del IRC nathan.stjohnspark.net a través del puerto TCP
8080, desde donde recibirá instrucciones del atacante, tales como:
- Descargar y ejecutar archivos con códigos malignos.
- Activar o detener procesos e hilos.
- Ejecutar un ataque DoS con Negaciones de Servicios ACK, SYN, UDP e ICMP.
- Redireccionar puertos.
- Enviar archivos a través del Chat.
- Enviar mensajes de correo haciendo uso de su propio motor SMTP.
- Activar un servidor local HTTP, FTP o TFTP.
- Capturar teclas digitadas.
- Intentar propagarse vía redes con recursos compartidos copiándose a sí mismo.
- Rastrear redes con vulnerabilidades descritas.
- Capturar pantallazos, datos de la pizarra y filmaciones de cámaras web.
- Visitar direcciones URL.
- Desbordar los cache DNS y ARP.
- Abrir un comando oculto compartido, en los equipos infectados.
- Activar un servidor Proxy en en el SOCKS4.
- Agregar y borrar redes con recursos compartidos y deshabilitar el DCOM.
- Reiniciar el sistema.
- Interceptar paquetes de datos transmitidos en la red local.
- Extraer y robar de la memoria las contraseñas de los usuarios de Windows.
- Borrar los registros de varios programas y otros gusanos.
- Controlar el sistema a través de canales del IRC (Internet Chat relay).
- Tomar control en forma remota del sistema infectado.
- Robar información confidencial del sistema e intenta explotar varias vulnerabilidades.
Intenta además propagarse a través de los backdoors abiertos por diversas variantes de los gusanos Beagle, Sasser y Mydoom, así como de los Troyanos NetDevil,
Subseven, Kuang y Optix.
La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:
PER ANTIVIRUS® versión 9.2 con registro de virus al 02 de Mayo del 2005, detecta y elimina eficientemente este gusano/troyano/backdoor.
