|
KELVIR.CP se propaga vía MSN Messenger y AOL Instant Messenger descarga gusano/backdoor termina procesos, etc.
|
|
(c) Jorge Machado Lima-Perú
|
|
W32.Kelvir.CP, I.worm.Kelvir.CP
|
|
Kelvir.CP es un gusano/backdoor residente en memoria reportado el 24 de Octubre del 2005, que se propaga a través de las listas de contactos del MSN Messenger y de AOL Instant Messenger
con una lista de mensajes que contienen una dirección URL cifrada desde la cual descargará el archivo infectado.
Una vez activado en memoria terminará los procesos de antivirus, firewalls y software de control. A través de puertos TCP que se encuentren abiertos provocará ataques de Negación de Servicio con comandos de saturación dirigidos a direcciones IP aleatorias.
|
Modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software de seguridad.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 55 KB y comprimido con los
utilitarios PE_Patch, PecBundle y PECompact:
Para que la infección sea posible es necesario que el usuario esté conectado a una sesión de estos servicios y haga click en cualquiera de estos mensajes:
- Are you bored of your emotions and winks? download this :
- Check this out bro, its awsome :D !!
- Hej, download free Emotions and more Extras for your messenger here:
- Hej, wanna upgrade your Messenger :D ?
- Hej, you got the new Messenger ? :D
- Hey, I found new Winks, Emoticons and alot more for your messenger. Check them out here :
- lmao this is cracking me up...
- lmao, this is awesome!
- LMAO, you should get the new Messenger Plus Add-In...its awsome! :D
- LoL dude, you gotta see this!
- lol I just updated my Messenger and I can tell you its awsome!
- Mate, you have got to see this!
- Messeger PLUS just have been released. Check it out, it got alot of extra features that makes your Messenger alot better!
- Messenger Plus 6.0 Beta has been released....get it here :)
- ROFL!! this is the funniest things i've ever seen!
Los mismos que contienen un enlace a una dirección URL cifrada, desde la misma que se descargará una copia del gusano.
Al ejecutar el archivo infectado éste se copia a una sub-carpeta aleatoria en %System% como Svshost.exe, con los atributos "oculto", "solo_lectura" y "sistema".
Para ser ejecutado la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Svshost" = "%System%\[sub-carpeta_aleatoria]\svshost.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo deshabilita los procesos de los siguiente antivirus, firewalls y software de control:
- AVGNT.EXE
- AVWIN.EXE
- AVWUPSRV.EXE
- bbeagle.exe
- ccapp.exe
- ccevtmgr.exe
- ccproxy.exe
- ccsetmgr.exe
- d3dupdate.exe
- enterprise.exe
- ethereal.exe
- gcasdtserv.exe
- gcasserv.exe
- GuardDogEXE
- hijackthis.exe
- i11r54n4.exe
- irun4.exe
- isafe.exe
- issvc.exe
- kav.exe
- kavsvc.exe
- mcagent.exe
- mcdash.exe
- mcinfo.exe
- mcmnhdlr.exe
- mcshield.exe
- mcvsftsn.exe
- mcvsrte.exe
- mcvsshld.exe
- mpfagent.exe
- mpfservice.exe
- mpftray.exe
- msblast.exe
- msconfig.exe
- mscvb32.exe
- mskagent.exe
- mwincfg32.exe
- navapsvc.exe
- navapw32.exe
- navw32.exe
- npfmntor.exe
- outpost.exe
- pandaavengine.exe
- pccguide.exe
- pcclient.exe
- pcctlcom.exe
- penis32.exe
- regedit.exe
- services
- smc.exe
- sndsrvc.exe
- spbbcsvc.exe
- symlcsvc.exe
- sysinfo.exe
- sysmonxp.exe
- taskmgr.exe
- teekids.exe
- tmntsrv.exe
- tmpfw.exe
- tmproxy.exe
- usrprmpt.exe
- vsmon.exe
- wincfg32.exe
- winsys.exe
- winupd.exe
- zapro.exe
- zlclient.exe
actuando como Backdoor usa puertos TCP que se encuentren abiertos y a través de los mismos provoca ataques DoS a direcciones IP aleatorias ejecutando los comandos ICMP, PING, SYN y UDP,
que saturarán la memoria de los receptores.
modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:
- antivir.com
- antivir.de
- avp.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- fastclick.net
- ftp.f-secure.com
- ftp.sophos.com
- gcasServ
- grisoft.com
- housecall.trendmicro.com
- kaspersky.com
- liveupdate.symantec.com
- mast.mcafee.com
- mcafee.com
- merijn.org
- my-etrust.com
- nai.com
- networkassociates.com
- pandasoftware.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.co
- service1.symantec.com
- sophos.com
- spywareinfo.com
- support.microsoft.com
- symantec.com
- trendmicro.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- vil.nai.com
- viruslist.com
- www.avp.com
- www.awaps.net
- www.ca.com
- www.f-secure.com
- www.fastclick.net
- www.grisoft.com
- www.kaspersky.com
- www.mcafee.com
- www.merijn.org
- www.microsoft.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.pandasoftware.com
- www.sophos.com
- www.spywareinfo.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
- www.zonelabs.com
- www3.ca.com
- zonelabs.com
PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 24 de Octubre del 2005 detectan y eliminan este gusano/backdoor.
