• 24/12/2025
ALERTA

Aparecen los virus Kelvir y Fatso que se difunden por el Messenger

La propagación de los gusanos, que afectan los sistemas Windows arrancó hoy en la madrugada. Detalles técnicos y recomendaciones para evitar la infección
iProfesional | Legales |
Por iProfesional
07/03/2005 - 03:00hs
Aparecen los virus Kelvir y Fatso que se difunden por el Messenger

Desde las 3:05 de la mañana de hoy, Trendlabs decretó una alerta amarilla para controlar la propagación de WORM_KELVIR.B y WORM_FATSO.A. qie se difunde a través del Messenger. Este malware se esta propagando en Corea y los Estados Unidos de América.

Descripción:

  • WORM_KELVIR.A:
    Este nuevo gusano se propaga a través del MSN Messenger. El gusano intenta enviar el siguiente mensaje a todos los contactos online de MSN Messenger de un usuario afectado:

    "omg this is funny! http://jose.ria4.home.att.net/cute.pif"

    Cuando el usuario hace click en la antedicha URL, este gusano instala una copia de sí­ mismo, llamada CUTE.PIF, desde la misma URL. Después de copiarse, este archivo es ejecutado y luego baja otro archivo de tipo malware desde Internet el cual es detectado por Trend Micro como WORM_SDBOT.AUI.


    • WORM_FATSO.A

    - Es un virus residente en memoria que ingresa al sistema a través del MSN Messenger. Distribuye copias de sí­ mismo a todos los contactos online del MSN Messenger de un sistema afectado al enví­ar un mensaje instantáneo conteniendo un link que, un vez clickeado, instala una copia del mismo en el sistema del receptor.

- Tiene la habilidad de propagarse ví­a emule, un conocido programa para compartir archivos puerto-a-puerto. (P2P peer to peer). También es capaz de redirigir usuarios infectados a cierto web site, que al momento de esta notificación ya no se encuentra disponible; este comportamiento se repite cada vez que el usuario accede a Web Sites relacionados con antivirus o compañí­as de seguridad.

- También puede terminar ciertos procesos que se estuvieran ejecutando, y no permitirles ejecutarse mientras él recida en memoria.

- Instala muchos archivos en el sistema infectado, uno de los archivos instalados es un archivo de texto (txt) el cual lleva el siguiente mensaje:

- Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!

- "-S-K-Y-'-D-E-V-I-L-"

Detalles:

Arribo e instalación:
Este gusano llega al sistema ví­a MSN Messenger. Luego de su ejecución, instala los siguientes archivos maliciosos en la carpeta raí­z del sistema (Usualmente C:):

  • Annoying crazy frog getting killed.pif
  • Crazy frog gets killed by train!.pif
  • Fat Elvis! lol.pif
  • How a Blonde Eats a Banana...pif
  • Jennifer Lopez.scr LOL that ur pic!.pif
  • lspt.exe
  • Me on holiday!.pif
  • Mona Lisa Wants Her Smile Back.pif
  • My new photo!.pif
  • See my lesbian friends.pif
  • The Cat And The Fan piccy.pif
  • Topless in Mini Skirt! lol.pif
  • Crazy-Frog.Html
  • Message to n00b LARISSA.txt

Dentro de la carpeta raí­z los siguientes archivos inocuos:

  • Crazy-Frog.Html
  • Message to n00b LARISSA.txt
  • British National Party.jpg

Y estos archivos en ciertas carpetas tal como se detalla a continuación:

  • %System%FORMATSYS.EXE
  • %System%SERBW.EXE
  • %Windows%MSMBW.EXE

(Nota: %System% es la carpeta de sistema de Windows, la cual es usualmente C:WindowsSystem en Windows 95, 98 and ME, C:WINNTSystem32 en Windows NT and 2000, y C:WindowsSystem32 on Windows XP. %Windows% es la carpeta de Windows por defecto , usualmente C:Windows or C:WINNT.).

Técnica de Autorun:

Crea las siguientes entradas en el registro para poder ejecutar los archivos que ya ha instalado, cada vez que arranque el sistema:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun %Random Value% = "%Windows%msmbw.exe"
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorerRun %Random Value% = "%Windows%msmbw.exe"
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices %Random Value% = "%Windows%msmbw.exe"
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionpoliciesExplorerRun %Random Value% = "%Windows%msmbw.exe"
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun %Random Value% = "%Windows%msmbw.exe"

    Nota: %Random Value% puede ser cualquiera de los siguientes:

    ltwob serpe avnort

Copia los siguientes archivos en la carpeta C:Documents and Settings\%Username%Local SettingsApplication DataMicrosoftCD Burning

AUTORUN.EXE AUTORUN.INF Nota: %Username% se refiere al usuario logueado al momento de copiarse.

AUTORUN.EXE es una copia de este gusano, mientras que, AUTORUN.INF sirve como la rutina de auto inicio para ejecutar AUTORUN.EXE. Hace esto para poder copiarse el mismo a un CD mientras si el usuario afectado esta grabando uno, y luego es ejecutado automáticamente desde el CD cuando este es leí­do por el sistema.


Otras modificaciones al Registro de Windows:

Puede también añadir o modificar la siguiente entrada del registro para habilitar la herramienta de SYTEM RESTORE, de manera que el virus pueda ser incluido entre los archivos a ser restaurados en caso de que el usuario restaure el sistema:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft Windows NTSystemRestore DisableSR = "0" DisableConfig = "0"

Propagación ví­a Mensajeria Instantánea

Se propaga ví­a MSN. Messenger. Enví­a un mensaje instantáneo a todos los contactos online del usuario afectado de manera que contenga un link a un sitio de Internet en particular.
Cuando el usuario hace clic en este link, una copia de este gusano es instalada en el sistema.

Propagación a través de Redes de comparición de archivos puerto a puerto


Este archivo malware también se propaga ví­a eMule. Se copia a si mismo con el siguiente nombre a la carpeta %Program Files%Program FileseMuleIncoming del sistema afectado:


Messenger Plus! 3.50.exe MSN all version polygamy.exe MSN nudge bomb.exe Antivirus Retaliation


También realiza una modificación del archivo HOSTS file para redirigir a los usuarios afectado al siguiente sitio Web cuando intenten acceder a sitios relacionados con antivirus o compañí­as de seguridad:

64.2.167.104 Al momento de esta notificación, el sitio no se encuentra disponible.

Esto sucede cuando un usuario accede a los siguientes sitios:

www.symantec.com

www.sophos.com

www.mcafee.com

www.viruslist.com

www.f-secure.com

 www.avp.com

 www.kaspersky.com

 www.networkassociates.com

 www.ca.com

 www.my-etrust.com

 www.nai.com

 www.trendmicro.com

 www.grisoft.com

 securityresponse.symantec.com

 symantec.com

 sophos.com

 mcafee.com

 liveupdate.symantecliveupdate.com

viruslist.com

 f-secure.com

 kaspersky.com

 kaspersky-labs.com

 avp.com

 networkassociates.com

 ca.com

 mast.mcafee.com

 my-etrust.com

 download.mcafee.com

 dispatch.mcafee.com

 secure.nai.com

nai.com

 update.symantec.com

 updates.symantec.com

 us.mcafee.com

 liveupdate.symantec.com

 customer.symantec.com

 rads.mcafee.com

 trendmicro.com

 grisoft.com

 sandbox.norman.no

 www.pandasoftware.com

 uk.trendmicro-europe.com


El Laboratorio de Trend Micro va a estar lanzando los siguientes elementos de prevención:

TMCM Outbreak Prevention Policy 154

Official Pattern Release 2.476.00

Damage Cleanup Template 550

Instrucciones de remoción automática

Para remover automáticamente este software maligno de su sistema, por favor utilice el Damage Cleanup Service de Trend Micro.

Descargue la herramienta del siguiente link:
http://www.trendmicro.com/download/dcs.asp, luego descomprí­mala y cópiela a la carpeta de \Serverofcscanadmin de su servidor de OfficeScan.

Para más información sobre Kelvir haga click aquí­

Para más informacion sobre Fasto, haga click aquí­