W32.Kitro.E.Worm – változatos féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: a következőkből választ egyet véletlenszerűen
– Te han enviado una postal.
– Leelo y reenvialo a quienes aprecias.
– This is the last problem.
– Para los amigos.
– Fw: Enviame tu foto.
– Es posible que nos roben el dinero!!!.
– Banks vulnerabilitie.
Csatolmány: az alábbiakból választ egyet
– Cajerosautomaticos!!!.DOC.pif
– YaNoPuedoTener$$$$$.DOC.pif
– EnNavarras.pif
– Facturas556.XLS.pif
– List.txt.by.Microsoft.com
– AuToDeTeRmInAzIon.Doc.pif
– PostalDeAmistad.pif

A féreg paraméterei

Felfedezésének ideje: 2002. július 19.
Védekezés elkészültének ideje: 2002. július 19.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 168 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjeleníti a cikk végén látható álhibaüzenetet
– létrehoz számos file-t a rendszerben:
C:/Windows/PostalDeAmistad.pif
C:/Windows/AuToDeTeRmInAzIon.Doc.pif
C:/Windows/List.txt.by.Microsoft.com
C:/Windows/Facturas556.XLS.pif
C:/Windows/EnNavarras.pif
C:/Windows/YaNoPuedoTener$$$$$.DOC.pif
C:/Windows/Cajerosautomaticos!!!.DOC.pif
C:/ .exe
C:/AVP40Crack.exe
C:/ResidentEvil-Crack.exe
C:/AVP-SpanishPatch.exe
C:/PandaAllCracks.exe
C:/MessengerSkins29.exe
C:/HackTools.exe
C:/MP3EncoderDecoder58.exe
C:/GameCube-FreeEmulator.exe
C:/PSX2-Emulator.exe
C:/X-Box_Emulator.exe
C:/PSXEmulator_Full.exe
C:/CounterStrikeMoreServers.exe
C:/Jedi2-FullCrack.exe
C:/W98ToXpActualization.exe
C:/WindowsXP-Serials.exe
C:/GamesPSX2Emulator.exe
C:/CopyPSXgamesV12.exe
– megpróbálkozik hatástalanítani a rendszerre telepített antivírus szoftvereket a következő állományok letörlésével:
C:/Archiv~1/Perav/Pav.dll
C:/Archiv~1/Perav/Per.dll
C:/Program Files/Perav/Pav.dll
C:/Program Files/Perav/Per.dll
C:/Windows/Pav.exe
C:/Windows/Bases/Avp.set
C:/Windows/System/Vshield.vxd
C:/Windows/System32/Vshield.vxd
C:/Windows/Vshield.vxd
– létrehozza a Folder bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/SharedFiles Registry kulcsban és a PAV.EXE Zonavirus bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– a C meghajtó gyökérkönyvtárában található összes állományt megkísérli felülírni magával, az eredeti file-neveket meghagyja, de kiegészíti őket egy .exe kiterjesztéssel
– bemásolja a BanderaNegra.vbs állományt a C meghajtó gyökérkönyvtárába
– annak érdekében, hogy minden bootoláskor elinduljon a féreg is, létrehozza a BNexe és a KAZAAkCuF bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– az összes .Net Messenger kapcsolatnak megkísérli elküldeni magát a mail.hotmail.com SMTP-szervert használva
– a KaZaA hálózatát is felhasználja szaporodásra, bemásolja magát a file-cserélő szoftver megosztott könyvtárába