KITRO (Psycho), gusano satura el nuevo servicio de Microsoft .NET Messenger.  

(c) Jorge Machado  Lima-Perú

Win32/Kitro@mm, W32/Psycho, I-Worm.Kiltro,

Kitro es un gusano reportado en el Perú, el 18 de Febrero del 2002, que puede tener una gran difusión masiva vía Internet, a pesar de que su archivo anexado tiene una enorme extensión. 

Se auto-envía a los contactos de .NET Messenger (http://messenger.msn.com), haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger,  en un mensaje de correo con un tema alusivo a las drogas y un archivo anexado de nombre psycho.scr, simulando ser un inofensivo protector de pantalla:

Es un clásico archivo con formato PE (Portable Ejecutable) de 220k de extensión, desarrollado en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de los Antivirus:

http://upx.sourceforge.net

Debido a su característica PE, infecta los sistemas operativos Windows 95/98/Me.

Si el usuario ejecuta el archivo psycho.scr, el gusano intentará auto-registrarse como un servicio, utilizando las funciones API (Aplication Programming Interfase) específicas para MS Windows 95/98/Me e inmediatamente se auto-copiará como:

C:\system32.exe

C:\Archivos de Programa\psycho.scr

y para poder activarse la próxima vez que se inicie el sistema crea la siguiente llave en el registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run]
msn=C:\system32.exe

Luego creará el archivo kiltro.dat, el cual contiene las direcciones de correo de cada uno de los contactos obtenidos desde el .NET Messenger para proceder a auto-enviarse masivamente.

Su payload final se manifestará a través de mensajes entre los meses de Abril y Diciembre, con el título "KILTRO * MSNWorm" y alguno de los siguientes textos elegidos al azar:

Programado en Santiago de Chile por 4D2

¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!

GUERRA AL SIONISMO

CRACKING, MARIGUANA & PsichoBilly

NSALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPAÑA EL CAURO!!!) y pa mi compaire ALSINO',0

SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA

PER ANTIVIRUS® versión 7.3 actualizado al 19 de Febrero del 2002, detecta y elimina eficientemente este gusano.                  

Ir al menú anterior

Regresar al Portal de PER SYSTEMS