Kelvir.J

KELVIR.J se propaga vía MSN Messenger descarga troyano/backdoor muestra en pantalla un semidesnudo.

W32.Kelvir.J, I.worm.Kelvir.J

Kelvir.J es un gusano reportado el 30 de Marzo del 2005, que se propaga masivamente a través de las listas de contactos del MSN Messenger, haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger y una llave de registro.

Para que la infección sea posible es necesario que el usuario esté conectado a una sesión de este servicio.

Libera una variante del troyano/backdoor Spybot y varios archivos, entre ellos el sexy.jpg el cual muestra en pantalla, haciendo uso del navegador Internet Explorer.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con extensión de 46 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ejecutar el archivo se copia a la carpeta %System% con los siguientes nombres:

adaware.exe
winis.exe
win32s.exe
updates.exe

Libera y copia al directorio raíz C:\ el archivo cz.exe, en caso ninguno de los archivos anteriores estuviese instalado en el sistema infectado, el mismo que es una variante del Spybot.

Para ser ejecutado la próxima vez que se re-inicie el sistema agrega las llaves del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"xpupdate" = "%System%\updates.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"xpupdate" = "%System%\updates.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"xpupdate" = "%System%\updates.exe"

agrega además la llave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
"EnableDCOM" = "N"

Al siguiente inicio, el gusano se activa en memoria y auto-copia con los siguientes nombres en las rutas:

%System%\msnmsr.exe
C:\Webcam.pif
C:\bedroom-things.pif
C:\naked_drunk.pif
C:\my_pussy.pif
C:\ROFL.pif
C:\underware.pif
C:\Hot.pif
C:\new_webcam.pif

libera el archivo sexy.jpg en el directorio raíz de C:\ y lo muestra en pantalla usando el navegador Internet Explorer:

captura las direcciones de la Libreta de Contactos de MSN Messenger usando la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]

monitorea cualquier cambio del estado de los contactos del MSN Messenger y se auto-envía a aquellos que hayan tenido alguna alteración.

Finalmente, re-configura el nivel de sonido del audio a "cero".

PER ANTIVIRUS® versiones 9.1 y 9.2 con registro de virus al 30 de Marzo del 2005, detectan y eliminan eficientemente este gusano.