VSantivirus No. 739 - Año 6 - Martes 16 de julio de 2002
Kitro y sus variantes
http://www.vsantivirus.com/kitro-variantes.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Kitro es un gusano de Internet, del que han surgido diferentes versiones. Se propaga a través de mensajes infectados y de archivos compartidos entre usuarios por medio de la red
KaZaa.
Su mayor difusión entre usuarios de habla hispana, se debe a que la mayoría de sus mensajes está en español.
Programado en Chile, su autor, que se hace llamar 'ErGrone', es un experto programador en Delphi de 23 años.
El virus es conocido con varios nombres por diferentes fabricantes, y por su difusión 'boca a boca', lo que dificulta muchas veces su identificación.
Por ejemplo, algunos usuarios lo conocen por el nombre de "La droga
virtual", o "Bandera Negra". En cambio, los nombres que los fabricantes le han dado de acuerdo a sus variantes, son los siguientes:
Duni, Daduni, Dadinu, Bandera, PostalAmistad, Grade, Banegra y
Argen.
Todas las versiones del gusano obtienen las direcciones de correo a las que se envía, de la lista de contacto del
MSN Messenger.
Los mensajes enviados poseen diferentes asuntos, textos y adjuntos, y para su envío se utiliza el servidor SMTP
mail.hotmail.com
Variante: Kitro.A
Esta versión puede propagarse solo a través de mensajes electrónicos con un adjunto infectado. El gusano es un archivo
.EXE de 220,160 bytes.
Cuando se ejecuta, el gusano se copia en las siguientes ubicaciones:
c:\system32.exe
c:\archiv~1\psycho.scr
También modifica el registro para ejecutarse automáticamente en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msn = c:\system32.exe
El gusano obtiene la información de los contactos del MSN Messenger, leyendo los valores
"Allow" de la siguiente clave del registro:
HKCU\Software\Microsoft\MessengerService
\ListCache\.NET Messenger Service
Allow0
Allow1
[etc...]
Las direcciones obtenidas las guarda en un archivo llamado
"kiltro.dat" en el directorio en que se ejecuta el gusano.
Los mensajes enviados contienen como datos adjuntos el archivo
"Psycho.scr".
Si el gusano encuentra una copia del mismo virus ya instalada en el sistema, esconde la bandeja del sistema y muestra los siguientes mensajes:
KILTRO * MSNWorm
----------------
Programado en Santiago de Chile por 4D2
KILTRO * MSNWorm
----------------
¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!
KILTRO * MSNWorm
----------------
GUERRA AL SIONISMO
KILTRO * MSNWorm
----------------
CRACKING, MARIGUANA & PsichoBilly
KILTRO * MSNWorm
----------------
UN SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPATA EL CAURO!!!), y pa mi compaire ALSINO
Psycho!!!
---------
SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA
El gusano también muestra un mensaje de error falso:
WINDOWS
-------
Error en resolucion
Other
-----
El gusano crea archivos de texto con el nombre
"c:\windat.vxd" y "c:\windat.dll", y el siguiente contenido:
Programado en Santiago de Chile por ErGrone
Variante: Kitro.B
Esta versión es un intento de propagarse a través de mensajes electrónicos y la red de archivos compartidos KaZaa. Debido a errores en su código, el gusano falla al ejecutarse y propagarse debidamente. El gusano es un archivo
.CPL (Control Panel applet), de 236,032 bytes.
El gusano se copia a si mismo en el directorio de Windows y en el raíz de la unidad C: con un nombre al azar consistente en números y la extensión .CPL (Ej:
832.CPL).
También modifica el registro para autoejecutarse en cada reinicio.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[Nombre del gusano]
=
rundll32.exe shell32.dll,Control_RunDLL
[Nombre del gusano]
Ejemplo:
832.cpl = rundll32.exe shell32.dll,Control_RunDLL 832.cpl
Las direcciones son obtenidas de la lista de contactos del MSN Messenger, y escritas en los archivos
"commfig.sys" y "K32.vxd" en el directorio de Windows. Luego, intenta enviar mensajes infectados a dichas direcciones. Un error en su código impide que pueda propagarse.
Esta versión es la primera que intenta deshabilitar algunos antivirus, modificando las siguientes claves del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PAV.EXE = C:\Windows
HKLM\SOFTWARE\KasperskyLab\SharedFiles
Folder = C:\Windows
También busca e intenta cerrar ventanas con el título
"Panda ActiveScan - Microsoft Internet Explorer", y borrar archivos desde las siguientes ubicaciones:
\AVP Shared\bases\avp.set
C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll
[Directorio de
Windows]\vshield.vxd
[Directorio de
Windows]\system32\vshield.vxd
Variante: Kitro.C
Esta versión es similar a la B. Es un archivo .CPL (Control Panel applet) de 545,792 bytes, o 236,032 bytes (en su versión comprimida). Su rutina de instalación es igual a la versión B.
El gusano crea sus copias en la carpeta compartida del KaZaa o en el raíz de la unidad C:, si lo anterior no existe.
Los nombres de esas copias son los siguientes (note que algunos nombres poseen doble extensión, por ejemplo .ZIP.CPL pero la segunda extensión está separada de la primera por varios espacios en blanco de modo que queda oculta por limitaciones visuales de la ventana):
DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
AVP_KeyActualization2002.ZIP
.cpl
Messenger_skins.ZIP
.cpl
Porno_sTar.cpl
CannibalCorpse.MP3
.cpl
Sickofitall.Zip
.cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
Crack.PerAntivirus.Zip
.cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
PSX2_Emulation.Zip
.cpl
GameCube.Zip
.cpl
Mames.Zip.cpl
Crack_Delphi5and6.Zip
.cpl
terminator2.cpl
BinladenFuckinBillGates.cpl
AnalPasswords.cpl
ElvisDesktop.cpl
B.cpl
Z.cpl
AVP_Spanish.cpl
ZoneAlarmCrack.cpl
HardXCore.cpl
PhotoShop6.xCrack.cpl
BioHazard.cpl
VisualBasic.Net.cpl
Zidane.Taliban.cpl
VideoPortoSeguro.cpl
PSX2EmulatorFree.Zip
.cpl
sexo_en_la_calle.cpl
sexo_anal_full_video.cpl
sexo_oriental_full_video.cpl
muertes_videos.cpl
fullvideo_anal_action.zip
.cpl
La rutina de propagación a través del correo electrónico es similar a la de las variantes anteriores. El gusano envía sus copias como adjunto en un mensaje a todos los contactos del MSN Messenger. El mensaje puede tener varios asuntos y cuerpos.
El adjunto puede poseer uno de los siguientes nombres:
zorrita.cpl
jack.cpl
sickofitall.cpl
analpasswords.cpl
poema_angelical.cpl
testdeamor.cpl
Adulterio_en_tus_narices.cpl
Cristo.cpl
mundial.cpl
cristo2002.cpl
postal_de_mi_alma.cpl
estesoyyo.cpl
milposiciones.cpl
como_como.cpl
por_ahi_noooooo.cpl
lomasimportante.cpl
vidaymuerte.cpl
siemprevivir@setnet.cpl
milvidas.cpl
comoolvidarte.cpl
paulinasex.cpl
mentiras_en_hotmail.cpl
listado_de_hoaxes.cpl
zapato_en_el_culo.cpl
binladenDT.cpl
gooooooool.cpl
Fifaladen.cpl
788782.cpl
secretarias.cpl
test_secretontas.cpl
sere_yo_uno_de_esos.cpl
scarycrai.cpl
mentiras_mails.cpl
mcaffehoaxlist.cpl
tetris2002.cpl
zandias_meloones.cpl
quien_como_tu.cpl
portymore.cpl
listado_de_porquerias.cpl
billgatesscream.cpl
Algunos de los posibles asuntos:
Esta si que es zorra!!!
Fotos de asesinatos, Jack el Destripador, Charles Manson, y muchos mas para decorar tu escritorio.
Yeahhh Mutha Facka... NY Brookling in your NET.
Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos...
Test de amor.
30 pregutas para saber si tu pareja te engaa.
La imagen de cristo en un bosque.
mira como seria un mundial en la antigua mesopotamia.
Fotos de Cristo para decorar tu escritorio.
Te han enviado una postal.
Te acuerdas de mi?
Asi se hace el amor...
Asi me gusta a mi...
Esto doleria mucho, mucho :-).
Si esto no me lo regresas me sentire mal.
La vida despues de la muerte.
Me cambie de correo, aver si ahora me escribes...
Leelo y reenvialo a quienes mas amas.
Cancion de amor, para ti.
Paulina Rubio y su zorrita cosmica...
No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.
Ver el listado de falsas alarmas.
ja, la han cagado con este video.
Bin Laden DT de la seleccion de arabia...
Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.
Bin Laden presidente de la FIFA.
Dime que te parece esta animacion.
Una broma para las secretarias, ja ja.
Test para secretarias, para saber que tan tontas son.
41 preguntas para saber si alguien es sicopata.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Last hoaxes list.
Hola
como te gustarian este par de tetitas.
Leelo y reenvialo a quienes mas amas.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Bin Laden killing muthaFaka bill gates.
Posibles textos de los mensajes:
si viste una mejor o la tuviste, es por que eres un guru. yaaaaaaaaa. nos vemos.
dale un toque al escritorio, unos cadaveres por iconos, manson como fondo de escritorio, muy bueno.
HXC Sick Of It All.
si pues, con esto mete un nombre de usuario y te da un password segun la pagina que seleccionaste, hasta hoy funciona, ojala que dure un tiempo mas, saludos.
un amigo es muy dificil encontrar, pero tu eres uno de esos, la fortuna esta conmigo.
leelo y luego me dices que tan enamorado estas o si es solo calentura ja ja ja.nunca esta demas saberse estas cosillas,
je je.
uno de los tantos milagros?, la imagen de cristo plasmada entre los arboles.
jugando con craneos, el mejor ataque cortarle las manos al arquero, je je.que mas hermoso que cristo en tu oficina o en tu hogar.postales.net Service.
si no me recuerdas ni siquiera mirando la foto, es porque el vino era muy bueno :o).
uuuuuuf,uufufufufufufuf, cuantas maneras de hacerlo, no?, derrepente no conoces muchas de estas.
podrias complacerme?. habria que verlo y saberlo.
si crees lo contrario eres masoquista.
lee el archivo y sabras a quienes aprecias, sabras quienes son tus amigos.
una interesante tesis sobre este tema de conversasion que nunca pasa de moda.
sigo teniendo fe en que lo hagas.
cristo esta en todas partes, el amor tambien pues ambos son uno.
una cancion es lo que ahora puedo dedicarte, mas tarde una flor y si lo permites quizas mi imaginacion.
uuuuuuu, que perra mas rica ¿o no?.
es verdad, lee este documento y hecha a la basura todos esos mitos que circulan.
no todo lo que dicen es cierto, lee el documento y no te dejes engañar por falsas alarmas.
no se donde catalogarian este video, gore,chiste, terrorcomico, o simplemente quemierda, ja ja.
si no se puede ganar con futbol, entonces con delanteros suicidas ja ja, mira la foto.
no hay mejor ataque que un delantero con fusil, ni romario jio.
de seguro la seleccion yanki desaparece asi como la judia.
viste la de los huevos poetas, esta esta dirigida por el mismo director, je je.
nunca esta demas hacerle pasar un sustillo, ¿cierto?.
Test para secretarias, para saber que tan tontas son.
derepente eres uno del clan, si es asi unete a nosotros.
simplemente ordinario, en serio.
ya sabes todas esas porquerias de envialo a tus amigos, borra esos archivos, todos esos, leelos pa estar al dia.
in this document, all hoax that circulates until the day of today.
por favor lee el archivo y si puedes cooperar de alguna forma, una niña te lo agradecera.
sin comentarios. quede mudo.
creo que algo mas ordinario que eso seria un mojon sin choclo, ja jaja.
el listado actualizado de todas esas porquerias que llenan nuestros e-mails
this is one of the best photos fixed with photoshop, in fact the best one.
Variante: Kitro.D
Esta versión es similar a la B. Es un archivo .CPL de 169,984 bytes, que se copia en el directorio de Windows con los siguientes nombres:
PostalDeAmistad.pif
Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
PostalDeAmistad.pif
Facturas556.XLS.pif
EnLosAndes.pif
YaNoPuedoSerYoMismo.DOC.pif
ReparacionDeMessenger.DOC.pif
TestDeAmoryAmistad.DOC.pif
Luego, el gusano ejecuta una de estas copias en el directorio de Windows, y selecciona al azar una de esas copias para incluirla en la siguiente entrada del registro, a los efectos que se autoejecute en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
BNexe =
[Nombre de cualquiera de las copias del gusano]
Zonavirus =
[Camino de la copia del gusano]
Dependiendo de condiciones internas el valor
"Zonavirus" puede ser cambiado por un número, relacionado con el valor de la hora actual.
También se copia a si mismo en las siguientes ubicaciones:
c:\zonavirus.Dll
C:\Bn.exe
Cuando se instala en el sistema, el gusano muestra el siguiente mensaje falso de error:
Error
-----
Not recognized error xxH
Donde 'xx' es un número al azar.
Por ejemplo:
Error
-----
Not recognized error 10H
El gusano crea las siguientes copias en la carpeta compartida del KaZaa o en el raíz de la unidad C: si la anterior no existe:
AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe
El gusano también sobrescribe todos los demás archivos de la carpeta del KaZaa con su propia copia. Luego selecciona uno de esos archivos para que se ejecute al iniciarse Windows por medio de la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAZAAkCuF =
[un nombre de los sobrescritos por el virus]
La rutina de propagación vía correo electrónico de esta variante es igual a las anteriores. El gusano envía una copia de si mismo como adjunto en un mensaje a toda la lista de contactos del MSN Messenger. El mensaje puede tener varios asuntos y textos.
El adjunto puede tener uno de estos nombres:
PostalDeAmistad.pif
Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
PostalDeAmistad.pif
Facturas556.XLS.pif
EnLosAndes.pif
YaNoPuedoSerYoMismo.DOC.pif
ReparacionDeMessenger.DOC.pif
TestDeAmoryAmistad.DOC.pif
Posibles asuntos:
Te han enviado una postal.
Leelo y reenvialo a quienes aprecias.
Listado de falsas alarmas.
This is a last hoax list.
Para los amigos
Facturas
Fw: Enviame tu foto.
Es posible que nos roben la identidad.
Messenger vulnerable
77:Test de amor.
Posibles textos de los mensajes:
Postales NetWork (c)1999-2002.
Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
I send the list of false alarms, so that you do not make case to the lies bye.
Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje.
lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.
si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Referencias:
W32/Argen.A (Kitro.D). Otra versión del Bandera
http://www.vsantivirus.com/argen-a.htm
W32/Bandera. Varios asuntos en español, y adjuntos
http://www.vsantivirus.com/bandera.htm
W32/Duni (Kitro.C). Asuntos en español, y adjunto .CPL
http://www.vsantivirus.com/duni.htm
W32/Psycho (Kitro). "La Droga Virtual" en psycho.scr
http://www.vsantivirus.com/psycho-kitro.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|