|
KELVIR.W se propaga vía MSN Messenger, IRC, Correo descarga troyano/backdoor termina procesos, etc.
|
|
(c) Jorge Machado Lima-Perú
|
|
W32.Kelvir.W, I.worm.Kelvir.W
|
|
Kelvir.W es un destructivo gusano/backdoor reportado el 15 de Abril del 2005, que se propaga masivamente a través de las listas de contactos del MSN Messenger. Puede enviar mensajes de correo vía su propio motor SMTP
(Simple Mail Transfer Protocol), ejecutar ataques DoS, robar información del sistema, contraseñas, teclas digitadas, etc.
Libera una variante del troyano/backdoor Spybot y a través del puerto TCP 2442 se une a un canal del IRC (Internet Chat Relay) desde el cual ejecutará
diversas acciones nocivas y hasta destructivas.
|
Explota las vulnerabilidades RPC/DCOM, LSASS, del Servidor MS SQL 2000 y desbordamiento del Buffer de Servicios de Estaciones de Trabajo descritas en los Boletines MS03-026, MS04-011, MS02-061
y MS03-49 e intenta ingresar a redes con recursos compartidos configurados con contraseñas débiles.
Termina los procesos y servicios de antivirus, firewalls y software de seguridad.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con extensión variable y comprimido con el
utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Para que la infección sea posible es necesario que el usuario esté conectado a una sesión de este servicio y haga click en cualquiera de estos mensajes:
- http:/ /www.[dominio_removido].com/.us/gallery/pictues.php?email=[nombre_removido]@hotmail.com
El archivo contiene una copia del gusano con formato .RAR auto-extraíble.
Al ejecutar el archivo se copia a la carpeta %System% como de winsystem32xp.exe, con los atributos "oculto", "solo_lectura" y "sistema".
Luego libera en la carpeta %Archivos de programa%:
- ACS-Style\rxBot.exe (variante del troyano/backdoor Spybot)
- ACS-Style\acs.exe (componente del gusano que envía los mensajes a los contactos del MSN Messenger)
Para ser ejecutado la próxima vez que se re-inicie el sistema agrega el valor:
"Microsoft XP System loader" = "winsystem32xp.exe"
a las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
agrega además la llave:
[HKEY_CURRENT_USER\Software\WinRAR SFX]
"%Archivos de programa% ACS-Style" = "%Archivos de programa%\ACS-Style"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Archivos de programa% es la variable que se refiere a la carpeta configurada por defecto en a unidad C:\ aunque puede configurarse también en otras unidades del disco.
Al siguiente inicio del equipo deshabilita los procesos de los siguiente antivirus, firewall y software de control:
- i11r54n4.exe
- irun4.exe
- d3dupdate.exe
- rate.exe
- ssate.exe
- winsys.exe
- winupd.exe
- SysMonXP.exe
- bbeagle.exe
- Penis32.exe
- mscvb32.exe
- sysinfo.exe
- PandaAVEngine.exe
- F-AGOBOT.EXE
- HIJACKTHIS.EXE
- _AVPM.EXE
- _AVPCC.EXE
- _AVP32.EXE
- ZONEALARM.EXE
- ZONALM2601.EXE
- ZATUTOR.EXE
- ZAPSETUP3001.EXE
- ZAPRO.EXE
- XPF202EN.EXE
- WYVERNWORKSFIREWALL.EXE
- WUPDT.EXE
- WUPDATER.EXE
- WSBGATE.EXE
- WRCTRL.EXE
- WRADMIN.EXE
- WNT.EXE
- WNAD.EXE
- WKUFIND.EXE
- WINUPDATE.EXE
- WINTSK32.EXE
- WINSTART001.EXE
- WINSTART.EXE
- WINSSK32.EXE
- WINSERVN.EXE
- WINRECON.EXE
- WINPPR32.EXE
- WINNET.EXE
- WINMAIN.EXE
- WINLOGIN.EXE
- WININITX.EXE
- WININIT.EXE
- WININETD.EXE
- WINDOWS.EXE
- WINDOW.EXE
- WINACTIVE.EXE
- WIN32US.EXE
- WIN32.EXE
- WIN-BUGSFIX.EXE
- WIMMUN32.EXE
- WHOSWATCHINGME.EXE
- WGFE95.EXE
- WFINDV32.EXE
- WEBTRAP.EXE
- WEBSCANX.EXE
- WEBDAV.EXE
- WATCHDOG.EXE
- W9X.EXE
- W32DSM89.EXE
- VSWINPERSE.EXE
- VSWINNTSE.EXE
- VSWIN9XE.EXE
- VSSTAT.EXE
- VSMON.EXE
- VSMAIN.EXE
- VSISETUP.EXE
- VSHWIN32.EXE
- VSECOMR.EXE
- VSCHED.EXE
- VSCENU6.02D30.EXE
- VSCAN40.EXE
- VPTRAY.EXE
- VPFW30S.EXE
- VPC42.EXE
- VPC32.EXE
- VNPC3000.EXE
- VNLAN300.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VIR-HELP.EXE
- VFSETUP.EXE
- VETTRAY.EXE
- VET95.EXE
- VET32.EXE
- VCSETUP.EXE
- VBWINNTW.EXE
- VBWIN9X.EXE
- VBUST.EXE
- VBCONS.EXE
- VBCMSERV.EXE
- UTPOST.EXE
- UPGRAD.EXE
- UPDATE.EXE
- UPDAT.EXE
- UNDOBOOT.EXE
- TVTMD.EXE
- TVMD.EXE
- TSADBOT.EXE
- TROJANTRAP3.EXE
- TRJSETUP.EXE
- TRJSCAN.EXE
- TRICKLER.EXE
- TRACERT.EXE
- TITANINXP.EXE
- TITANIN.EXE
- TGBOB.EXE
- TFAK5.EXE
- TFAK.EXE
- TEEKIDS.EXE
- TDS2-NT.EXE
- TDS2-98.EXE
- TDS-3.EXE
- TCM.EXE
- TCA.EXE
- TC.EXE
- TBSCAN.EXE
- TAUMON.EXE
- TASKMON.EXE
- TASKMO.EXE
- TASKMG.EXE
- SYSUPD.EXE
- SYSTEM32.EXE
- SYSTEM.EXE
- SYSEDIT.EXE
- SYMTRAY.EXE
- SYMPROXYSVC.EXE
- SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
- SWEEP95.EXE
- SVSHOST.EXE
- SVCHOSTS.EXE
- SVCHOSTC.EXE
- SVC.EXE
- SUPPORTER5.EXE
- SUPPORT.EXE
- SUPFTRL.EXE
- STCLOADER.EXE
- START.EXE
- ST2.EXE
- SSG_4104.EXE
- SSGRATE.EXE
- SS3EDIT.EXE
- SRNG.EXE
- SREXE.EXE
- SPYXX.EXE
- SPOOLSV32.EXE
- SPOOLCV.EXE
- SPOLER.EXE
- SPHINX.EXE
- SPF.EXE
- SPERM.EXE
- SOFI.EXE
- SOAP.EXE
- SMSS32.EXE
- SMS.EXE
- SMC.EXE
- SHOWBEHIND.EXE
- SHN.EXE
- SHELLSPYINSTALL.EXE
- SH.EXE
- SGSSFW32.EXE
- SFC.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SERVLCES.EXE
- SERVLCE.EXE
- SERVICE.EXE
- SERV95.EXE
- SD.EXE
- SCVHOST.EXE
- SCRSVR.EXE
- SCRSCAN.EXE
- SCANPM.EXE
- SCAN95.EXE
- SCAN32.EXE
- SCAM32.EXE
- SC.EXE
- SBSERV.EXE
- SAVENOW.EXE
- SAVE.EXE
- SAHAGENT.EXE
- SAFEWEB.EXE
- RUXDLL32.EXE
- RUNDLL16.EXE
- RUNDLL.EXE
- RUN32DLL.EXE
- RULAUNCH.EXE
- RTVSCN95.EXE
- RTVSCAN.EXE
- RSHELL.EXE
- RRGUARD.EXE
- RESCUE32.EXE
- RESCUE.EXE
- REGEDT32.EXE
- REGEDIT.EXE
- REGED.EXE
- REALMON.EXE
- RCSYNC.EXE
- RB32.EXE
- RAY.EXE
- RAV8WIN32ENG.EXE
- RAV7WIN.EXE
- RAV7.EXE
- RAPAPP.EXE
- QSERVER.EXE
- QCONSOLE.EXE
- PVIEW95.EXE
- PUSSY.EXE
- PURGE.EXE
- PSPF.EXE
- PROTECTX.EXE
- PROPORT.EXE
- PROGRAMAUDITOR.EXE
- PROCEXPLORERV1.0.EXE
- PROCESSMONITOR.EXE
- PROCDUMP.EXE
- PRMVR.EXE
- PRMT.EXE
- PRIZESURFER.EXE
- PPVSTOP.EXE
- PPTBC.EXE
- PPINUPDT.EXE
- POWERSCAN.EXE
- PORTMONITOR.EXE
- PORTDETECTIVE.EXE
- POPSCAN.EXE
- POPROXY.EXE
- POP3TRAP.EXE
- PLATIN.EXE
- PINGSCAN.EXE
- PGMONITR.EXE
- PFWADMIN.EXE
- PF2.EXE
- PERSWF.EXE
- PERSFW.EXE
- PERISCOPE.EXE
- PENIS.EXE
- PDSETUP.EXE
- PCSCAN.EXE
- PCIP10117_0.EXE
- PCFWALLICON.EXE
- PCDSETUP.EXE
- PCCWIN98.EXE
- PCCWIN97.EXE
- PCCNTMON.EXE
- PCCIOMON.EXE
- PCC2K_76_1436.EXE
- PCC2002S902.EXE
- PAVW.EXE
- PAVSCHED.EXE
- PAVPROXY.EXE
- PAVCL.EXE
- PATCH.EXE
- PANIXK.EXE
- PADMIN.EXE
- OUTPOSTPROINSTALL.EXE
- OUTPOSTINSTALL.EXE
- OUTPOST.EXE
- OTFIX.EXE
- OSTRONET.EXE
- OPTIMIZE.EXE
- ONSRVR.EXE
- OLLYDBG.EXE
- NWTOOL16.EXE
- NWSERVICE.EXE
- NWINST4.EXE
- NVSVC32.EXE
- NVC95.EXE
- NVARCH16.EXE
- NUPGRADE.EXE
- NUI.EXE
- NTXconfig.EXE
- NTVDM.EXE
- NTRTSCAN.EXE
- NT.EXE
- NSUPDATE.EXE
- NSTASK32.EXE
- NSSYS32.EXE
- NSCHED32.EXE
- NPSSVC.EXE
- NPSCHECK.EXE
- NPROTECT.EXE
- NPFMESSENGER.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NOTSTART.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NORMIST.EXE
- NOD32.EXE
- NMAIN.EXE
- NISUM.EXE
- NISSERV.EXE
- NETUTILS.EXE
- NETSTAT.EXE
- NETSPYHUNTER-1.2.EXE
- NETSCANPRO.EXE
- NETMON.EXE
- NETINFO.EXE
- NETD32.EXE
- NETARMOR.EXE
- NEOWATCHLOG.EXE
- NEOMONITOR.EXE
- NDD32.EXE
- NCINST4.EXE
- NC2000.EXE
- NAVWNT.EXE
- NAVW32.EXE
- NAVSTUB.EXE
- NAVNT.EXE
- NAVLU32.EXE
- NAVENGNAVEX15.NAVLU32.EXE
- NAVDX.EXE
- NAVAPW32.EXE
- NAVAPSVC.EXE
- NAVAP.NAVAPSVC.EXE
- AUTO-PROTECT.NAV80TRY.EXE
- NAV.EXE
- N32SCANW.EXE
- MWATCH.EXE
- MU0311AD.EXE
- MSVXD.EXE
- MSSYS.EXE
- MSSMMC32.EXE
- MSMSGRI32.EXE
- MSMGT.EXE
- MSLAUGH.EXE
- MSINFO32.EXE
- MSIEXEC16.EXE
- MSDOS.EXE
- MSDM.EXE
- MSCONFIG.EXE
- MSCMAN.EXE
- MSCCN32.EXE
- MSCACHE.EXE
- MSBLAST.EXE
- MSBB.EXE
- MSAPP.EXE
- MRFLUX.EXE
- MPFTRAY.EXE
- MPFSERVICE.EXE
- MPFAGENT.EXE
- MOSTAT.EXE
- MOOLIVE.EXE
- MONITOR.EXE
- MMOD.EXE
- MINILOG.EXE
- MGUI.EXE
- MGHTML.EXE
- MGAVRTE.EXE
- MGAVRTCL.EXE
- MFWENG3.02D30.EXE
- MFW2EN.EXE
- MFIN32.EXE
- MD.EXE
- MCVSSHLD.EXE
- MCVSRTE.EXE
- MCUPDATE.EXE
- MCTOOL.EXE
- MCSHIELD.EXE
- MCMNHDLR.EXE
- MCAGENT.EXE
- MAPISVC32.EXE
- LUSPT.EXE
- LUINIT.EXE
- LUCOMSERVER.EXE
- LUAU.EXE
- LUALL.EXE
- LSETUP.EXE
- LORDPE.EXE
- LOOKOUT.EXE
- LOCKDOWN2000.EXE
- LOCKDOWN.EXE
- LOCALNET.EXE
- LOADER.EXE
- LNETINFO.EXE
- LDSCAN.EXE
- LDPROMENU.EXE
- LDPRO.EXE
- LDNETMON.EXE
- LAUNCHER.EXE
- KILLPROCESSSETUP161.EXE
- KERNEL32.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-PF-213-EN-WIN.EXE
- KEENVALUE.EXE
- KAZZA.EXE
- KAVPF.EXE
- KAVPERS40ENG.EXE
- KAVLITE40ENG.EXE
- JEDI.EXE
- JDBGMRG.EXE
- JAMMER.EXE
- ISTSVC.EXE
- ISRV95.EXE
- ISASS.EXE
- IRIS.EXE
- IPARMOR.EXE
- IOMON98.EXE
- INTREN.EXE
- INTDEL.EXE
- INIT.EXE
- INFWIN.EXE
- INFUS.EXE
- INETLNFO.EXE
- IFW2000.EXE
- IFACE.EXE
- IEXPLORER.EXE
- IEDRIVER.EXE
- IEDLL.EXE
- IDLE.EXE
- ICSUPPNT.EXE
- ICSUPP95.EXE
- ICMON.EXE
- ICLOADNT.EXE
- ICLOAD95.EXE
- IBMAVSP.EXE
- IBMASN.EXE
- IAMSTATS.EXE
- IAMSERV.EXE
- IAMAPP.EXE
- HXIUL.EXE
- HXDL.EXE
- HWPE.EXE
- HTPATCH.EXE
- HTLOG.EXE
- HOTPATCH.EXE
- HOTACTIO.EXE
- HBSRV.EXE
- HBINST.EXE
- HACKTRACERSETUP.EXE
- GUARDDOG.EXE
- GUARD.EXE
- GMT.EXE
- GENERICS.EXE
- GBPOLL.EXE
- GBMENU.EXE
- GATOR.EXE
- FSMB32.EXE
- FSMA32.EXE
- FSM32.EXE
- FSGK32.EXE
- FSAV95.EXE
- FSAV530WTBYB.EXE
- FSAV530STBYB.EXE
- FSAV32.EXE
- FSAV.EXE
- FSAA.EXE
- FRW.EXE
- FPROT.EXE
- FP-WIN_TRIAL.EXE
- FP-WIN.EXE
- FNRB32.EXE
- FLOWPROTECTOR.EXE
- FIREWALL.EXE
- FINDVIRU.EXE
- FIH32.EXE
- FCH32.EXE
- FAST.EXE
- FAMEH32.EXE
- F-STOPW.EXE
- F-PROT95.EXE
- F-PROT.EXE
- F-AGNT95.EXE
- EXPLORE.EXE
- EXPERT.EXE
- EXE.AVXW.EXE
- EXANTIVIRUS-CNET.EXE
- EVPN.EXE
- ETRUSTCIPE.EXE
- ETHEREAL.EXE
- ESPWATCH.EXE
- ESCANV95.EXE
- ESCANHNT.EXE
- ESCANH95.EXE
- ESAFE.EXE
- ENT.EXE
- EMSW.EXE
- EFPEADM.EXE
- ECENGINE.EXE
- DVP95_0.EXE
- DVP95.EXE
- DSSAGENT.EXE
- DRWEBUPW.EXE
- DRWEB32.EXE
- DRWATSON.EXE
- DPPS2.EXE
- DPFSETUP.EXE
- DPF.EXE
- DOORS.EXE
- DLLREG.EXE
- DLLCACHE.EXE
- DIVX.EXE
- DEPUTY.EXE
- DEFWATCH.EXE
- DEFSCANGUI.EXE
- DEFALERT.EXE
- DCOMX.EXE
- DATEMANAGER.EXE
- Claw95.EXE
- CWNTDWMO.EXE
- CWNB181.EXE
- CV.EXE
- CTRL.EXE
- CPFNT206.EXE
- CPF9X206.EXE
- CPD.EXE
- CONNECTIONMONITOR.EXE
- CMON016.EXE
- CMGRDIAN.EXE
- CMESYS.EXE
- CMD32.EXE
- CLICK.EXE
- CLEANPC.EXE
- CLEANER3.EXE
- CLEANER.EXE
- CLEAN.EXE
- CLAW95CF.EXE
- CFINET32.EXE
- CFINET.EXE
- CFIAUDIT.EXE
- CFIADMIN.EXE
- CFGWIZ.EXE
- CFD.EXE
- CDP.EXE
- CCPXYSVC.EXE
- CCEVTMGR.EXE
- CCAPP.EXE
- BVT.EXE
- BUNDLE.EXE
- BS120.EXE
- BRASIL.EXE
- BPC.EXE
- BORG2.EXE
- BOOTWARN.EXE
- BOOTCONF.EXE
- BLSS.EXE
- BLACKICE.EXE
- BLACKD.EXE
- BISP.EXE
- BIPCPEVALSETUP.EXE
- BIPCP.EXE
- BIDSERVER.EXE
- BIDEF.EXE
- BELT.EXE
- BEAGLE.EXE
- BD_PROFESSIONAL.EXE
- BARGAINS.EXE
- BACKWEB.EXE
- AVXQUAR.EXE
- AVXMONITORNT.EXE
- AVXMONITOR9X.EXE
- AVWUPSRV.EXE
- AVWUPD32.EXE
- AVWUPD.EXE
- AVWINNT.EXE
- AVWIN95.EXE
- AVSYNMGR.EXE
- AVSCHED32.EXE
- AVPUPD.EXE
- AVPTC32.EXE
- AVPM.EXE
- AVPDOS32.EXE
- AVPCC.EXE
- AVP32.EXE
- AVP.EXE
- AVNT.EXE
- AVLTMAIN.EXE
- AVKWCTl9.EXE
- AVKSERVICE.EXE
- AVKSERV.EXE
- AVKPOP.EXE
- AVGW.EXE
- AVGUARD.EXE
- AVGSERV9.EXE
- AVGSERV.EXE
- AVGNT.EXE
- AVGCTRL.EXE
- AVGCC32.EXE
- AVE32.EXE
- AVCONSOL.EXE
- AUTOUPDATE.EXE
- AUTOTRACE.EXE
- AUTODOWN.EXE
- AUPDATE.EXE
- AU.EXE
- ATWATCH.EXE
- ATUPDATER.EXE
- ATRO55EN.EXE
- ATGUARD.EXE
- ATCON.EXE
- ARR.EXE
- APVXDWIN.EXE
- APLICA32.EXE
- APIMONITOR.EXE
- ANTS.EXE
- ANTIVIRUS.EXE
- ANTI-TROJAN.EXE
- AMON9X.EXE
- ALOGSERV.EXE
- ALEVIR.EXE
- ALERTSVC.EXE
- AGENTW.EXE
- AGENTSVR.EXE
- ADVXDWIN.EXE
- ADAWARE.EXE
- ACKWIN32.EXE
luego activa la variante del Spybot la misma que puede ejecutar, entre otras, las siguientes acciones:
- Controlar el sistema a través de canales del IRC (Internet Chat relay).
- Ejecutar un ataque DoS.
- Tomar control en forma remota del sistema infectado.
- Robar información confidencial del sistema e intenta explotar varias vulnerabilidades.
Actuando cono Backdoor a través del puerto TCP 2442 se conecta y une a un canal de Chat en la dirección IP 66.111.56.101 (irc.allmp3s.net) desde donde
recibirá instrucciones del atacante, tales como:
- Descargar y ejecutar archivos con códigos malignos.
- Listar, activar o detener procesos.
- Ejecutar una Negación de Servicios o ataque DoS.
- Robar información del sistema y contraseñas enviándoselas al intruso.
- Redireccionar puertos.
- Enviar archivos a través del Chat.
- Enviar mensajes de correo haciendo uso de su propio motor SMTP.
- Activar un servidor local HTTP o FTP.
- Capturar teclas digitadas.
- Intentar propagarse vía redes con recursos compartidos.
- Rastrear redes con vulnerabilidades descritas.
La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:
PER ANTIVIRUS® versión 9.2 con registro de virus al 15 de Abril del 2005, detecta y elimina eficientemente este gusano.
