Classification

Category :

Other

Type :

-

Aliases :

Kitro, IWorm_Kitro, I-Worm.Kitro, Duni

Summary

Kitro is a family of Internet worms. They spread using infected email messages and Kazaa peer-to-peer network. All versions of the worm obtain email addresses from the .NET Messenger contact list, and send infected messages to these addresses.

Removal

Based on the settings of your F-Secure security product, it will either move the file to the quarantine where it cannot spread or cause harm, or remove it.

A False Positive is when a file is incorrectly detected as harmful, usually because its code or behavior resembles known harmful programs. A False Positive will usually be fixed in a subsequent database update without any action needed on your part. If you wish, you may also:

  • Check for the latest database updates

    First check if your F-Secure security program is using the latest updates, then try scanning the file again.

  • Submit a sample

    After checking, if you still believe the file is incorrectly detected, you can submit a sample of it for re-analysis.

    Note: If the file was moved to quarantine, you need to collect the file from quarantine before you can submit it.

  • Exclude a file from further scanning

    If you are certain that the file is safe and want to continue using it, you can exclude it from further scanning by the F-Secure security product.

    Note: You need administrative rights to change the settings.

Technical Details

Messages sent by these worms may have different subjects, bodies, and attached files. They are sent using direct SMTP access to the "mail.hotmail.com" server.

Variant:I-Worm.Kitro.a

This version of the worm is able to spread only by sending itself in email attachments. The worm is an EXE file, its size is 220160 bytes.

The worm copies itself to the following locations:

c:\system32.exe
c:\archiv~1\psycho.scr

The worm also sets its copy located in the root directory of disk C: up to start automatically with Windows by writing the following registry key:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 msn=c:\system32.exe

The worm gathers information about .NET Messenger contact recipients by reading "Allow" values from the following registry key:

 HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service
 Value names: Allow0, Allow1, etc.

It writes all addresses gathered into the file called "kiltro.dat" in the current directory.

Messages that are sent by the worm contain an attached file called "Psycho.scr".

If the worm finds its copy already installed in the system, it hides the system tray window and shows the following messages:

 KILTRO * MSNWorm
„„„„„„„„„„„„„„„„
Programado en Santiago de Chile por 4D2
KILTRO * MSNWorm
„„„„„„„„„„„„„„„„
¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!
KILTRO * MSNWorm
„„„„„„„„„„„„„„„„
GUERRA AL SIONISMO
KILTRO * MSNWorm
„„„„„„„„„„„„„„„„
CRACKING, MARIGUANA & PsichoBilly
KILTRO * MSNWorm
„„„„„„„„„„„„„„„„
UN SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL
JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPATA EL CAURO!!!),
y pa mi compaire ALSINO
Psycho!!!
„„„„„„„„„
SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA

The worm also shows a fake error message:

 WINDOWS
„„„„„„„
Error en resolucion
Other
„„„„„

The worm creates text files called "c:\windat.vxd" and "c:\windat.dll" with the following contents:

 Programado en Santiago de Chile por ErGrone

Variant:I-Worm.Kitro.b

This version of the worm is intended to spread both via the email messages and the Kazaa network. Due to errors in its code, the worm may fail to execute and replicate properly. The worm is a Control Panel applet (file with ".CPL" extension), its size is 236032 bytes.

The worm copies itself to the Windows directory and the root directory of disk C: with a random name consisting of digits and ".CPL" extension (for example, "832.cpl"). It also sets its copy up to load automatically when Windows starts by writing the following registry value:

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 (Worm's file name) = rundll32.exe shell32.dll,Control_RunDLL (Worm's file name)

for example,

832.cpl = rundll32.exe shell32.dll,Control_RunDLL 832.cpl

The worm obtains email addresses of the .NET Messenger contact list recipients, and writes them to the files called "commfig.sys" and "K32.vxd" in the Windows directory. Then it tries to send infected emails to these addresses. Due to errors in the worms code, the worm may not be able to replicate.

The worm tries to disable Kaspersky Anti-Virus and Panda Anti-Virus software by writing the follwing registry values:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run PAV.EXE = (Windows directory path)
  • HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles Folder = (Windows directory path)

It also searches for and tries to close windows with "Panda ActiveScan - Microsoft Internet Explorer" title, and to delete files at the following locations:

  • (Kaspersky Anti-Virus common files path)\Bases\avp.set
  • C:\archiv~1\perav\pav.dll
  • C:\archiv~1\perav\per.dll
  • C:\program files\perav\pav.dll
  • C:\program files\perav\per.dll
  • (Windows directory)\vshield.vxd
  • (Windows directory)\system32\vshield.vxd

Variant:I-Worm.Kitro.c

This version of the worm is similar to I-Worm.Kitro.b. It is a Control Panel applet, its size is either 545792 bytes, or 236032 bytes (packed variant). Its installation routine is equal to the one in the I-Worm.Kitro.b.

The worm makes its copies in the Kazaa shared directory, or in the root directory of disk C:, if the former doesn't exist. The names of the copies are the following:

 DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
AVP_KeyActualization2002.ZIP
.cpl
Messenger_skins.ZIP .cpl
Porno_sTar.cpl
CannibalCorpse.MP3.cpl
Sickofitall.Zip

.cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl;
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
Crack.PerAntivirus.Zip

.cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
PSX2_Emulation.Zip
 .cpl
GameCube.Zip

 .cpl
Mames.Zip.cpl
Crack_Delphi5and6.Zip
.cpl
terminator2.cpl
BinladenFuckinBillGates.cpl
AnalPasswords.cpl
ElvisDesktop.cpl
B.cpl
Z.cpl
AVP_Spanish.cpl
ZoneAlarmCrack.cpl
HardXCore.cpl
PhotoShop6.xCrack.cpl
BioHazard.cpl
VisualBasic.Net.cpl
Zidane.Taliban.cpl
VideoPortoSeguro.cpl
PSX2EmulatorFree.Zip
.cpl
sexo_en_la_calle.cpl
sexo_anal_full_video.cpl
sexo_oriental_full_video.cpl
muertes_videos.cpl
fullvideo_anal_action.zip
.cpl

The email replication routine of this worm's variant is similar to its previous versions. The worm sends its copies in email attachments to the recipients of the .NET Messenger contact list. The messages that contain the worm may have various subjects and bodies.

The attachments may have one of the following names:

 zorrita.cpl
jack.cpl
sickofitall.cpl
analpasswords.cpl
poema_angelical.cpl
testdeamor.cpl
Adulterio_en_tus_narices.cpl
Cristo.cpl
mundial.cpl
cristo2002.cpl
postal_de_mi_alma.cpl
estesoyyo.cpl
milposiciones.cpl
como_como.cpl
por_ahi_noooooo.cpl
lomasimportante.cpl
vidaymuerte.cpl
siemprevivir@setnet.cpl
milvidas.cpl
comoolvidarte.cpl
paulinasex.cpl
mentiras_en_hotmail.cpl
listado_de_hoaxes.cpl
zapato_en_el_culo.cpl
binladenDT.cpl
gooooooool.cpl
Fifaladen.cpl
788782.cpl
secretarias.cpl
test_secretontas.cpl
sere_yo_uno_de_esos.cpl
scarycrai.cpl
mentiras_mails.cpl
mcaffehoaxlist.cpl
tetris2002.cpl
zandias_meloones.cpl
quien_como_tu.cpl
portymore.cpl
listado_de_porquerias.cpl
billgatesscream.cpl

Possible message subjects:

 Esta si que es zorra!!!
Fotos de asesinatos, Jack el Destripador, Charles Manson, y
 muchos mas para decorar tu escritorio.
Yeahhh Mutha Facka... NY Brookling in your NET.
Genera passwords para poder entrar a las webs mas putonas de la
 red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos...
Test de amor.
30 pregutas para saber si tu pareja te engaa.
La imagen de cristo en un bosque.
mira como seria un mundial en la antigua mesopotamia.
Fotos de Cristo para decorar tu escritorio.
Te han enviado una postal.
Te acuerdas de mi?
Asi se hace el amor...
Asi me gusta a mi...
Esto doleria mucho, mucho :-).
Si esto no me lo regresas me sentire mal.
La vida despues de la muerte.
Me cambie de correo, aver si ahora me escribes...
Leelo y reenvialo a quienes mas amas.
Cancion de amor, para ti.
Paulina Rubio y su zorrita cosmica...
No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.
Ver el listado de falsas alarmas.
ja, la han cagado con este video.
Bin Laden DT de la seleccion de arabia...
Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.
Bin Laden presidente de la FIFA.
Dime que te parece esta animacion.
Una broma para las secretarias, ja ja.
Test para secretarias, para saber que tan tontas son.
41 preguntas para saber si alguien es sicopata.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Last hoaxes list.
Hola
como te gustarian este par de tetitas.
Leelo y reenvialo a quienes mas amas.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Bin Laden killing muthaFaka bill gates.

Possible message bodies:

 si viste una mejor o la tuviste, es por que eres un guru. yaaaaaaaaa. nos
vemos.
dale un toque al escritorio, unos cadaveres por iconos, manson como fondo
de escritorio,
muy bueno.
HXC Sick Of It All.
si pues, con esto mete un nombre de usuario y te da un password segun
la pagina que seleccionaste, hasta hoy funciona, ojala que dure un tiempo
mas, saludos.
un amigo es muy dificil encontrar, pero tu eres uno de esos, la fortuna
esta conmigo.
leelo y luego me dices que tan enamorado estas o si es solo calentura
ja ja ja.nunca esta demas saberse estas cosillas, je je.
uno de los tantos milagros?, la imagen de cristo plasmada entre los
arboles.
jugando con craneos, el mejor ataque cortarle las manos al arquero,
je je.que mas hermoso que cristo en tu oficina o en tu hogar.postales.net
Service.
si no me recuerdas ni siquiera mirando la foto, es porque el vino era muy
bueno :o).
uuuuuuf,uufufufufufufuf, cuantas maneras de hacerlo, no?, derrepente
no conoces muchas de estas.
podrias complacerme?. habria que verlo y saberlo.
si crees lo contrario eres masoquista.
lee el archivo y sabras a quienes aprecias, sabras quienes son tus amigos.
una interesante tesis sobre este tema de conversasion que nunca pasa
de moda.
sigo teniendo fe en que lo hagas.
cristo esta en todas partes, el amor tambien pues ambos son uno.
una cancion es lo que ahora puedo dedicarte, mas tarde una flor y si lo
permites quizas mi imaginacion.
uuuuuuu, que perra mas rica ¿o no?.
es verdad, lee este documento y hecha a la basura todos esos mitos que
circulan. no todo lo que dicen es cierto, lee el documento y no te dejes enga±ar por
falsas alarmas. no se donde catalogarian este video, gore,chiste, terrorcomico,
o simplemente quemierda, ja ja.
 si no se puede ganar con futbol, entonces con delanteros suicidas ja ja,
mira la foto.
 no hay mejor ataque que un delantero con fusil, ni romario jio.
 de seguro la seleccion yanki desaparece asi como la judia.
 viste la de los huevos poetas, esta esta dirigida por el mismo director,
je je. nunca esta demas hacerle pasar un sustillo, ¿cierto?.
 Test para secretarias, para saber que tan tontas son.
 derepente eres uno del clan, si es asi unete a nosotros. simplemente ordinario, en serio.
 ya sabes todas esas porquerias de envialo a tus amigos, borra esos
archivos, todos esos, leelos pa estar al dia.
 in this document, all hoax that circulates until the day of today.
 por favor lee el archivo y si puedes cooperar de alguna forma, una ni±a
te lo agradecera. sin comentarios. quede mudo.
 creo que algo mas ordinario que eso seria un mojon sin choclo, ja jaja.
 el listado actualizado de todas esas porquerias que llenan nuestros
emails this is one of the best photos fixed with photoshop, in fact the best one.

Variant:I-Worm.Kitro.d

This version of the worm is similar to I-Worm.Kitro.b. It is a Control Panel applet, its size is 169984 bytes.

The worm copies itself to the Windows directory with following names:

 PostalDeAmistad.pif
Cristo_Nos_Ense±a.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
PostalDeAmistad.pif
Facturas556.XLS.pif
EnLosAndes.pif
YaNoPuedoSerYoMismo.DOC.pif
ReparacionDeMessenger.DOC.pif
TestDeAmoryAmistad.DOC.pif

Then the worm executes one of its copies in the Windows directory. It also randomly selects several its copies, and sets them up to be executed when Windows starts by writing the following autorun keys:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 BNexe = (one of the file names above)
 Zonavirus = (path to the worm's copy)

Depending upon internal conditions, the "Zonavirus" value may be overwritten with the current time value.

It also copies itself to the following locations: c:\zonavirus.Dll C:\Bn.exeWhile installing in the system, the worm shows a fake error message:

 Error
„„„„„
Not recognized error (random number)Hfor example,
Error
 „„„„„
 Not recognized error 10H

The worm makes its copies in the Kazaa shared directory, or in the root directory of disk C:, if the former doesn't exist. The names of the copies are the following:

 AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe

The worm also overwrites all files in the Kazaa shared directory with its copies, and sets one of the overwritten files up to load when Windows starts by writing the following registry value:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 	KAZAAkCuF9=(Overwritten file's name) 	 	

The email replication routine of this worm's variant is similar to its previous versions. The worm sends its copies in email attachments to the recipients of the .NET Messenger contact list. The messages that contain the worm may have various subjects and bodies.

The attachments may have one of the following names:

 PostalDeAmistad.pif
Cristo_Nos_Ense±a.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
PostalDeAmistad.pif
Facturas556.XLS.pif
EnLosAndes.pif
YaNoPuedoSerYoMismo.DOC.pif
ReparacionDeMessenger.DOC.pif
TestDeAmoryAmistad.DOC.pif

 

Possible message subjects:

 Te han enviado una postal.
Leelo y reenvialo a quienes aprecias.
Listado de falsas alarmas.
This is a last hoax list.
Para los amigos
Facturas
Fw: Enviame tu foto.
Es posible que nos roben la identidad.
Messenger vulnerable
77:Test de amor.

Possible message bodies:

 Postales NetWork (c)1999-2002. Si lo que expone este documento es lo que sientes, envialo a tus amigos,
algun sue±o se hara realidad. Te envio la lista de falsas alarmas, para que no hagas caso a las
mentiras, chao que estes bien. I send the list of false alarms, so that you do not make case to the lies
bye. Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que
dentro del documento se especifica, Saludos. bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta
el paisaje. lee el documento y veras que puede ser verdad, luego enviaselo a tus
amigos para que no les suceda eso. si, ahora nos pueden espiar la cuenta, te envio el documento donde dice
que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
 Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero
recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.