W32.Kitro.C.Worm – antivírus programokat támadó féreg

A fertőzött e-mail tulajdonságai

Tárgy: a következőkből választ egyet véletlenszerűen
Esta si que es zorra!!!
Fotos de asesinatos, Jack el Destripador, Charles Manson, y muchos mas para decorar tu escritorio.
Yeahhh Mutha Facka… NY Brookling in your NET.
Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos…
Test de amor.
30 pregutas para saber si tu pareja te enga
!La imagen de cristo en un bosque.
mira como seria un mundial en la antigua mesopotamia.
Fotos de Cristo para decorar tu escritorio.
Te han enviado una postal.
Te acuerdas de mi?
Asi se hace el amor…
Asi me gusta a mi…
Esto doleria mucho, mucho :-).
Si esto no me lo regresas me sentire mal.
La vida despues de la muerte.
Me cambie de correo, aver si ahora me escribes…
Leelo y reenvialo a quienes mas amas.
Cancion de amor, para ti.
Paulina Rubio y su zorrita cosmica…
No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.
!Ver el listado de falsas alarmas.
!ja, la han cagado con este video.
Bin Laden DT de la seleccion de arabia…
Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.
Bin Laden presidente de la FIFA.
Dime que te parece esta animacion.
Una broma para las secretarias, ja ja.
Test para secretarias, para saber que tan tontas son.
41 preguntas para saber si alguien es sicopata.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Last hoaxes list.
Hola
como te gustarian este par de tetitas.
Leelo y reenvialo a quienes mas amas.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Bin Laden killing muthaFaka bill gates.
mira como seria un mundial en la antigua mesopotamia

Csatolmány: az alábbiakból választ egyet
zorrita.cpl
jack.cpl
sickofitall.cpl
analpasswords.cpl
poema_angelical.cpl
testdeamor.cpl
Adulterio_en_tus_narices.cpl
Cristo.cpl
mundial.cpl
cristo2002.cpl
postal_de_mi_alma.cpl
estesoyyo.cpl
milposiciones.cpl
como_como.cpl
por_ahi_noooooo.cpl
lomasimportante.cpl
vidaymuerte.cpl
siemprevivir@setnet.cpl
milvidas.cpl
comoolvidarte.cpl
paulinasex.cpl
mentiras_en_hotmail.cpl
listado_de_hoaxes.cpl
zapato_en_el_culo.cpl
binladenDT.cpl
gooooooool.cpl
Fifaladen.cpl
788782.cpl
secretarias.cpl
test_secretontas.cpl
sere_yo_uno_de_esos.cpl
scarycrai.cpl
mentiras_mails.cpl
mcaffehoaxlist.cpl
tetris2002.cpl
zandias_meloones.cpl
quien_como_tu.cpl
portymore.cpl
listado_de_porquerias.cpl
billgatesscream.cpl

A féreg paraméterei

Felfedezésének ideje: 2002. július 2.
Védekezés elkészültének ideje: 2002. július 8.
Veszélyeztetett operációs rendszerek: Windows 98/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x/95, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 236.032 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– Control Panel Applet (CPL) állományként érkezik, s rögtön az aktiválódása után bemásolja magát a merevlemez gyökérkönyvtárába valamint a Windows könyvtárba egy véletlenszerűen kiválasztott számokból álló néven (például 1708.cpl)
– a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz hozzáad egy értéket, amely az előbb említett file-ra hivatkozik, így minden rendszerinduláskor betöltődik maga a féreg is
– a HKEY_CURRENT_USER/Software/Microsoft/MessengerService/ListCache/.NET Messenger Service Registry kulcsból megszerzi az MSN Messengerben tárolt e-mailcímeket és a mail.hotmail.com SMTP szerverén keresztül megkísérli elküldeni magát ezekere a címekre a fent ismertetett formában
– sikeres küldés után létrehozza a zero.exe állományt a Windows könyvtárban
– megkísérel a KaZaA hálózatán keresztül is terjedni, ezért a HKEY_CURRENT_USER/Software/Kazaa/Transfer/DlDir0 Registry kulcsban megkeresi a file-cserélő megosztott konyvtárát, ahova bemásolja magát az alábbi neveken:
DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
AVP_KeyActualization2002.ZIP .cpl
Messenger_skins.ZIP .cpl
Porno_sTar.cpl
CannibalCorpse.MP3 .cpl
ASickofitall.Zip .cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
Crack.PerAntivirus.Zip .cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
PSX2_Emulation.Zip .cpl
GameCube.Zip .cpl
Mames.Zip.cpl
Crack_Delphi5and6.Zip .cpl
terminator2.cpl
BinladenF*ckinBillGates.cpl
AnalPasswords.cpl
ElvisDesktop.cpl
B.cpl
Z.cpl
AVP_Spanish.cpl
ZoneAlarmCrack.cpl
HardXCore.cpl
PhotoShop6.xCrack.cpl
BioHazard.cpl
VisualBasic.Net.cpl
Zidane.Taliban.cpl
VideoPortoSeguro.cpl
PSX2EmulatorFree.Zip .cpl
sexo_en_la_calle.cpl
sexo_anal_full_video.cpl
sexo_oriental_full_video.cpl
muertes_videos.cpl
fullvideo_anal_action.zip .cpl
– megkísérli hatástalanítani az antivírus szoftvereket, ezért módosítja a Registry HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/SharedFiles/Folder kulcsot olyan módon, hogy a Windows könyvtárra mutasson, illetve a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run bejegyzésben megváltoztatja a PAV.EXE C:/WINDOWS értéket
– ha léteznek, letörli az alábbi állományokat:
C:/archiv~1/perav/pav.dll
C:/archiv~1/perav/per.dll
C:/program files/perav/pav.dll
C:/program files/perav/per.dll
– illetve a Windows könyvtárban található file-ok közül a következőket:
PAV.EXE
/bases/avp.set
/system/vshield.vxd
/system32/vshield.vxd
/vshield.vxd