Threat Description

Kitro

Details

Aliases:Kitro, IWorm_Kitro, I-Worm.Kitro, Duni
Category:Malware
Type:Worm
Platform:W32

Summary



Kitro is a family of Internet worms. They spread using infected e-mail messages and Kazaa peer-to-peer network. All versions of the worm obtain e-mail addresses from the .NET Messenger contact list, and send infected messages to these addresses.



Removal


Automatic action

Once detected, the F-Secure security product will automatically disinfect the suspect file by either deleting it or renaming it.

More

You may wish to refer to the Support Community for further assistance. You also may also refer to General Removal Instructions for a general guide on alternative disinfection actions.



Technical Details



Messages sent by these worms may have different subjects, bodies, and attached files. They are sent using direct SMTP access to the "mail.hotmail.com" server.


Variant:I-Worm.Kitro.a

This version of the worm is able to spread only by sending itself in e-mail attachments. The worm is an EXE file, its size is 220160 bytes.

The worm copies itself to the following locations:

c:\system32.exe
 c:\archiv~1\psycho.scr
 
 

The worm also sets its copy located in the root directory of disk C: up to start automatically with Windows by writing the following registry key:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  msn=c:\system32.exe
  
  

The worm gathers information about .NET Messenger contact recipients by reading "Allow" values from the following registry key:

 HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service
  Value names: Allow0, Allow1, etc.
  
  

It writes all addresses gathered into the file called "kiltro.dat" in the current directory.

Messages that are sent by the worm contain an attached file called "Psycho.scr".

If the worm finds its copy already installed in the system, it hides the system tray window and shows the following messages:

 KILTRO * MSNWorm
 „„„„„„„„„„„„„„„„
 Programado en Santiago de Chile por 4D2
 KILTRO * MSNWorm
 „„„„„„„„„„„„„„„„
 ¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!
 KILTRO * MSNWorm
 „„„„„„„„„„„„„„„„
 GUERRA AL SIONISMO
 KILTRO * MSNWorm
 „„„„„„„„„„„„„„„„
 CRACKING, MARIGUANA & PsichoBilly
 KILTRO * MSNWorm
 „„„„„„„„„„„„„„„„
 UN SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL
 JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPATA EL CAURO!!!),
 y pa mi compaire ALSINO
 Psycho!!!
 „„„„„„„„„
 SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA
 
 

The worm also shows a fake error message:

 WINDOWS
 „„„„„„„
 Error en resolucion
 Other
 „„„„„
 
 

The worm creates text files called "c:\windat.vxd" and "c:\windat.dll" with the following contents:

 Programado en Santiago de Chile por ErGrone

Variant:I-Worm.Kitro.b

This version of the worm is intended to spread both via the e-mail messages and the Kazaa network. Due to errors in its code, the worm may fail to execute and replicate properly. The worm is a Control Panel applet (file with ".CPL" extension), its size is 236032 bytes.

The worm copies itself to the Windows directory and the root directory of disk C: with a random name consisting of digits and ".CPL" extension (for example, "832.cpl"). It also sets its copy up to load automatically when Windows starts by writing the following registry value:

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  (Worm's file name) = rundll32.exe shell32.dll,Control_RunDLL (Worm's file name)
  
  

for example,

832.cpl = rundll32.exe shell32.dll,Control_RunDLL 832.cpl

The worm obtains e-mail addresses of the .NET Messenger contact list recipients, and writes them to the files called "commfig.sys" and "K32.vxd" in the Windows directory. Then it tries to send infected e-mails to these addresses. Due to errors in the worms code, the worm may not be able to replicate.

The worm tries to disable Kaspersky Anti-Virus and Panda Anti-Virus software by writing the follwing registry values:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run PAV.EXE = (Windows directory path)
  • HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles Folder = (Windows directory path)

It also searches for and tries to close windows with "Panda ActiveScan - Microsoft Internet Explorer" title, and to delete files at the following locations:

  • (Kaspersky Anti-Virus common files path)\Bases\avp.set
  • C:\archiv~1\perav\pav.dll
  • C:\archiv~1\perav\per.dll
  • C:\program files\perav\pav.dll
  • C:\program files\perav\per.dll
  • (Windows directory)\vshield.vxd
  • (Windows directory)\system32\vshield.vxd

Variant:I-Worm.Kitro.c

This version of the worm is similar to I-Worm.Kitro.b. It is a Control Panel applet, its size is either 545792 bytes, or 236032 bytes (packed variant). Its installation routine is equal to the one in the I-Worm.Kitro.b.

The worm makes its copies in the Kazaa shared directory, or in the root directory of disk C:, if the former doesn't exist. The names of the copies are the following:

 DivResidentEvil.ZIP.cpl
 SpidermanDesktop.cpl
 AVP_KeyActualization2002.ZIP  .cpl
 Messenger_skins.ZIP .cpl
 Porno_sTar.cpl
 CannibalCorpse.MP3.cpl
 Sickofitall.Zip .cpl
 AXEbahia.cpl
 NuevosVideosProfesorRossa.cpl
 NewVideo_Blink182.cpl
 LagWagon&Blink182.cpl
 Hacking.cpl
 AllMcAfeeCrack.Cpl
 Britney_spearsVSDavidBeckham_AnalPasions.cpl
 Crack.PerAntivirus.Zip .cpl
 JamieThomasVSrodneyMullen.cpl
 MariguanaDesktop.cpl
 AgeOfEmpires2_Crack.cpl
 PSX2_Emulation.Zip.cpl
 GameCube.Zip  .cpl
 Mames.Zip.cpl
 Crack_Delphi5and6.Zip  .cpl
 terminator2.cpl
 BinladenFuckinBillGates.cpl
 AnalPasswords.cpl
 ElvisDesktop.cpl
 B.cpl
 Z.cpl
 AVP_Spanish.cpl
 ZoneAlarmCrack.cpl
 HardXCore.cpl
 PhotoShop6.xCrack.cpl
 BioHazard.cpl
 VisualBasic.Net.cpl
 Zidane.Taliban.cpl
 VideoPortoSeguro.cpl
 PSX2EmulatorFree.Zip  .cpl
 sexo_en_la_calle.cpl
 sexo_anal_full_video.cpl
 sexo_oriental_full_video.cpl
 muertes_videos.cpl
 fullvideo_anal_action.zip  .cpl
 
 

The e-mail replication routine of this worm's variant is similar to its previous versions. The worm sends its copies in e-mail attachments to the recipients of the .NET Messenger contact list. The messages that contain the worm may have various subjects and bodies.

The attachments may have one of the following names:

 zorrita.cpl
 jack.cpl
 sickofitall.cpl
 analpasswords.cpl
 poema_angelical.cpl
 testdeamor.cpl
 Adulterio_en_tus_narices.cpl
 Cristo.cpl
 mundial.cpl
 cristo2002.cpl
 postal_de_mi_alma.cpl
 estesoyyo.cpl
 milposiciones.cpl
 como_como.cpl
 por_ahi_noooooo.cpl
 lomasimportante.cpl
 vidaymuerte.cpl
 siemprevivir@setnet.cpl
 milvidas.cpl
 comoolvidarte.cpl
 paulinasex.cpl
 mentiras_en_hotmail.cpl
 listado_de_hoaxes.cpl
 zapato_en_el_culo.cpl
 binladenDT.cpl
 gooooooool.cpl
 Fifaladen.cpl
 788782.cpl
 secretarias.cpl
 test_secretontas.cpl
 sere_yo_uno_de_esos.cpl
 scarycrai.cpl
 mentiras_mails.cpl
 mcaffehoaxlist.cpl
 tetris2002.cpl
 zandias_meloones.cpl
 quien_como_tu.cpl
 portymore.cpl
 listado_de_porquerias.cpl
 billgatesscream.cpl
 
 

Possible message subjects:

 Esta si que es zorra!!!
 Fotos de asesinatos, Jack el Destripador, Charles Manson, y
  muchos mas para decorar tu escritorio.
 Yeahhh Mutha Facka... NY Brookling in your NET.
 Genera passwords para poder entrar a las webs mas putonas de la
  red, y gratis, incluso podras bajar peliculas porno.
 Para los verdaderos amigos...
 Test de amor.
 30 pregutas para saber si tu pareja te engaa.
 La imagen de cristo en un bosque.
 mira como seria un mundial en la antigua mesopotamia.
 Fotos de Cristo para decorar tu escritorio.
 Te han enviado una postal.
 Te acuerdas de mi?
 Asi se hace el amor...
 Asi me gusta a mi...
 Esto doleria mucho, mucho :-).
 Si esto no me lo regresas me sentire mal.
 La vida despues de la muerte.
 Me cambie de correo, aver si ahora me escribes...
 Leelo y reenvialo a quienes mas amas.
 Cancion de amor, para ti.
 Paulina Rubio y su zorrita cosmica...
 No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.
 Ver el listado de falsas alarmas.
 ja, la han cagado con este video.
 Bin Laden DT de la seleccion de arabia...
 Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.
 Bin Laden presidente de la FIFA.
 Dime que te parece esta animacion.
 Una broma para las secretarias, ja ja.
 Test para secretarias, para saber que tan tontas son.
 41 preguntas para saber si alguien es sicopata.
 mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
 listado de ultimas mentiras que circulan por los mails.
 Last hoaxes list.
 Hola
 como te gustarian este par de tetitas.
 Leelo y reenvialo a quienes mas amas.
 mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
 listado de ultimas mentiras que circulan por los mails.
 Bin Laden killing muthaFaka bill gates.
 
 

Possible message bodies:

 si viste una mejor o la tuviste, es por que eres un guru. yaaaaaaaaa. nos
 vemos.
 dale un toque al escritorio, unos cadaveres por iconos, manson como fondo
 de escritorio,  muy bueno.
 HXC Sick Of It All.
 si pues, con esto mete un nombre de usuario y te da un password segun
 la pagina que seleccionaste, hasta hoy funciona, ojala que dure un tiempo
 mas, saludos.
 un amigo es muy dificil encontrar, pero tu eres uno de esos, la fortuna
 esta conmigo.
 leelo y luego me dices que tan enamorado estas o si es solo calentura
 ja ja ja.nunca esta demas saberse estas cosillas, je je.
 uno de los tantos milagros?, la imagen de cristo plasmada entre los
 arboles.
 jugando con craneos, el mejor ataque cortarle las manos al arquero,
 je je.que mas hermoso que cristo en tu oficina o en tu hogar.postales.net
 Service.
 si no me recuerdas ni siquiera mirando la foto, es porque el vino era muy
 bueno :o).
 uuuuuuf,uufufufufufufuf, cuantas maneras de hacerlo, no?, derrepente
 no conoces muchas de estas.
 podrias complacerme?. habria que verlo y saberlo.
 si crees lo contrario eres masoquista.
 lee el archivo y sabras a quienes aprecias, sabras quienes son tus amigos.
 una interesante tesis sobre este tema de conversasion que nunca pasa
 de moda.
 sigo teniendo fe en que lo hagas.
 cristo esta en todas partes, el amor tambien pues ambos son uno.
 una cancion es lo que ahora puedo dedicarte, mas tarde una flor y si lo
 permites quizas mi imaginacion.
 uuuuuuu, que perra mas rica ¿o no?.
 es verdad, lee este documento y hecha a la basura todos esos mitos que
 circulan. no todo lo que dicen es cierto, lee el documento y no te dejes enga±ar por
 falsas alarmas. no se donde catalogarian este video, gore,chiste, terrorcomico,
 o simplemente quemierda, ja ja. 
 si no se puede ganar con futbol, entonces con delanteros suicidas ja ja,
 mira la foto. 
 no hay mejor ataque que un delantero con fusil, ni romario jio. 
 de seguro la seleccion yanki desaparece asi como la judia. 
 viste la de los huevos poetas, esta esta dirigida por el mismo director,
 je je. nunca esta demas hacerle pasar un sustillo, ¿cierto?. 
 Test para secretarias, para saber que tan tontas son. 
 derepente eres uno del clan, si es asi unete a nosotros. simplemente ordinario, en serio. 
 ya sabes todas esas porquerias de envialo a tus amigos, borra esos
 archivos, todos esos, leelos pa estar al dia. 
 in this document, all hoax that circulates until the day of today. 
 por favor lee el archivo y si puedes cooperar de alguna forma, una ni±a
 te lo agradecera. sin comentarios. quede mudo. 
 creo que algo mas ordinario que eso seria un mojon sin choclo, ja jaja. 
 el listado actualizado de todas esas porquerias que llenan nuestros
 e-mails this is one of the best photos fixed with photoshop, in fact the best one.
 
 

Variant:I-Worm.Kitro.d

This version of the worm is similar to I-Worm.Kitro.b. It is a Control Panel applet, its size is 169984 bytes.

The worm copies itself to the Windows directory with following names:

 PostalDeAmistad.pif
 Cristo_Nos_Ense±a.Doc.pif
 Listado.txt.by.Microsoft.com
 List.txt.by.Microsoft.com
 PostalDeAmistad.pif
 Facturas556.XLS.pif
 EnLosAndes.pif
 YaNoPuedoSerYoMismo.DOC.pif
 ReparacionDeMessenger.DOC.pif
 TestDeAmoryAmistad.DOC.pif
 

Then the worm executes one of its copies in the Windows directory. It also randomly selects several its copies, and sets them up to be executed when Windows starts by writing the following autorun keys:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  BNexe = (one of the file names above)
  Zonavirus = (path to the worm's copy)
  
  

Depending upon internal conditions, the "Zonavirus" value may be overwritten with the current time value.

It also copies itself to the following locations: c:\zonavirus.Dll C:\Bn.exeWhile installing in the system, the worm shows a fake error message:

 Error
 „„„„„
 Not recognized error (random number)Hfor example,
 Error
  „„„„„
  Not recognized error 10H
  
  

The worm makes its copies in the Kazaa shared directory, or in the root directory of disk C:, if the former doesn't exist. The names of the copies are the following:

 AVP40Crack.exe
 ResidentEvil-Crack.exe
 AVP-SpanishPatch.exe
 PandaAllCracks.exe
 SexoenlaCalle-Video.exe
 Sexo-Asiatico-FullVideo.exe
 MessengerSkins29.exe
 HackTools.exe
 MP3EncoderDecoder58.exe
 GameCube-FreeEmulator.exe
 PSX2-Emulator.exe
 X-Box_Emulator.exe
 PSXEmulator_Full.exe
 CounterStrikeMoreServers.exe
 Jedi2-FullCrack.exe
 W98ToXpActualization.exe
 WindowsXP-Serials.exe
 GamesPSX2Emulator.exe
 CopyPSXgamesV12.exe
 
 

The worm also overwrites all files in the Kazaa shared directory with its copies, and sets one of the overwritten files up to load when Windows starts by writing the following registry value:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
	KAZAAkCuF9=(Overwritten file's name)
	
	

The e-mail replication routine of this worm's variant is similar to its previous versions. The worm sends its copies in e-mail attachments to the recipients of the .NET Messenger contact list. The messages that contain the worm may have various subjects and bodies.

The attachments may have one of the following names:

 PostalDeAmistad.pif
 Cristo_Nos_Ense±a.Doc.pif
 Listado.txt.by.Microsoft.com
 List.txt.by.Microsoft.com
 PostalDeAmistad.pif
 Facturas556.XLS.pif
 EnLosAndes.pif
 YaNoPuedoSerYoMismo.DOC.pif
 ReparacionDeMessenger.DOC.pif
 TestDeAmoryAmistad.DOC.pif
 
  

Possible message subjects:

 Te han enviado una postal.
 Leelo y reenvialo a quienes aprecias.
 Listado de falsas alarmas.
 This is a last hoax list.
 Para los amigos
 Facturas
 Fw: Enviame tu foto.
 Es posible que nos roben la identidad.
 Messenger vulnerable
 77:Test de amor.
 
 

Possible message bodies:

 Postales NetWork (c)1999-2002. Si lo que expone este documento es lo que sientes, envialo a tus amigos,
 algun sue±o se hara realidad. Te envio la lista de falsas alarmas, para que no hagas caso a las
 mentiras, chao que estes bien. I send the list of false alarms, so that you do not make case to the lies
 bye. Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que
 dentro del documento se especifica, Saludos. bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta
 el paisaje. lee el documento y veras que puede ser verdad, luego enviaselo a tus
 amigos para que no les suceda eso. si, ahora nos pueden espiar la cuenta, te envio el documento donde dice
 que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible. 
 Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero
 recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones. 




Technical Details: Kaspersky Labs; July 2002


SUBMIT A SAMPLE

Suspect a file or URL was wrongly detected? Submit a sample to our Labs for analysis

Submit Now

Give And Get Advice

Give advice. Get advice. Share the knowledge on our free discussion forum.

Learn More