W32.Kelvir.R, I.worm.Kelvir.R

Kelvir.R es un destructivo gusano/backdoor reportado el 13 de Abril del 2005, que se propaga masivamente a través de las listas de contactos del MSN Messenger, haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger y una llave de registro. Libera una variante del  troyano/backdoor Spybot y explota las vulnerabilidades RPC/DCOM, LSASS y del Servidor MS SQL 2000 descritas en los Boletines MS03-026, MS04-011 y MS02-061.

Termina los procesos y servicios de antivirus, firewalls y software de seguridad. Roba claves de CD de populares juegos de PC, termina procesos y servicios que se encuentren en ejecución y activa un Keylogger. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Para que la infección sea posible es necesario que el usuario esté conectado a una sesión de este servicio y haga click en cualquiera de estos mensajes:

• picture of you!
• http:/ /www.[dominio_removido].com/pics/pictures.php?email=[nombre_removido]@hotmail.com

El archivo contiene una copia del gusano con formato .RAR auto-extraíble.

Al ejecutar el archivo se copia a la carpeta %System% como de svchost32.exe, con los atributos "oculto", "solo_lectura" y "sistema".

Luego libera en la carpeta %Archivos de programa%:

• KEVIN\rBot.exe (variante del troyano/backdoor Spybot)
• KEVIN\kevin.exe (componente del gusano que envía los mensajes a los contactos del MSN Messenger.

Para ser ejecutado la próxima vez que se re-inicie el sistema agrega las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Universal USB Service" = "%System%\svchost32.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Universal USB Service" = "%System%\svchost32.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Universal USB Service" = "%System%\svchost32.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%Archivos de programa%\KEVIN\Kevin.exe"

agrega además la llave:

[HKEY_CURRENT_USER\Software\WinRAR SFX]
"%Archivos de programa% KEVIN" = "%Archivos de programa%\KEVIN\kevin.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Archivos de programa% es la variable que se refiere a la carpeta configurada por defecto en a unidad C:\ aunque puede configurarse también en otras unidades del disco.

Al siguiente re-inicio rastrea sistemas con las vulnerabilidades DCOM RPC, LSASS y el servidor MS SQL 2000 a través del puerto TCP 1434.

captura las direcciones de la Libreta de Contactos de MSN Messenger usando la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]

enumera los usuarios de los sistemas infectados para copiarse a sí mismo a las redes con recursos compartidos.

Finalmente ejecuta las siguientes acciones:

• Abre un backdoor permitiendo a un intruso tomar control del sistema en forma remota.
• Roba claves de CD de populares juegos de PC.
• Termina procesos y servicios en ejecución de antivirus, firewalls y software de control.
• Instala un capturador de teclas digitadas (Keylogger).

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

• Microsoft Security Bulletin MS03-026
• Microsoft Security Bulletin MS04-011
• Microsoft Security Bulletin MS02-061

PER ANTIVIRUS® versión 9.2 con registro de virus al 13 de Abril del 2005, detecta y elimina eficientemente este gusano.