Threat Description

Kitro

Details

Aliases: Kitro, IWorm_Kitro, I-Worm.Kitro, Duni
Category: Malware
Type:
Platform: W32

Summary


Kitro is a family of Internet worms. They spread using infected e-mail messages and Kazaa peer-to-peer network. All versions of the worm obtain e-mail addresses from the .NET Messenger contact list, and send infected messages to these addresses.



Removal


Automatic action

Once detected, the F-Secure security product will automatically disinfect the suspect file by either deleting it or renaming it.

More

Detailed instructions for F-Secure security products are available in the documentation found in the Downloads section of our Home - Global site.

You may also refer to the Knowledge Base on the F-Secure Community site for further assistance.



Technical Details


Messages sent by these worms may have different subjects, bodies, and attached files. They are sent using direct SMTP access to the "mail.hotmail.com" server.


Variant:I-Worm.Kitro.a

This version of the worm is able to spread only by sending itself in e-mail attachments. The worm is an EXE file, its size is 220160 bytes.

The worm copies itself to the following locations:

c:\system32.exe  c:\archiv~1\psycho.scr    

The worm also sets its copy located in the root directory of disk C: up to start automatically with Windows by writing the following registry key:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   msn=c:\system32.exe      

The worm gathers information about .NET Messenger contact recipients by reading "Allow" values from the following registry key:

 HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service   Value names: Allow0, Allow1, etc.      

It writes all addresses gathered into the file called "kiltro.dat" in the current directory.

Messages that are sent by the worm contain an attached file called "Psycho.scr".

If the worm finds its copy already installed in the system, it hides the system tray window and shows the following messages:

 KILTRO * MSNWorm  „„„„„„„„„„„„„„„„  Programado en Santiago de Chile por 4D2  KILTRO * MSNWorm  „„„„„„„„„„„„„„„„  ¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!  KILTRO * MSNWorm  „„„„„„„„„„„„„„„„  GUERRA AL SIONISMO  KILTRO * MSNWorm  „„„„„„„„„„„„„„„„  CRACKING, MARIGUANA & PsichoBilly  KILTRO * MSNWorm  „„„„„„„„„„„„„„„„  UN SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL  JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPATA EL CAURO!!!),  y pa mi compaire ALSINO  Psycho!!!  „„„„„„„„„  SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA    

The worm also shows a fake error message:

 WINDOWS  „„„„„„„  Error en resolucion  Other  „„„„„    

The worm creates text files called "c:\windat.vxd" and "c:\windat.dll" with the following contents:

 Programado en Santiago de Chile por ErGrone  

Variant:I-Worm.Kitro.b

This version of the worm is intended to spread both via the e-mail messages and the Kazaa network. Due to errors in its code, the worm may fail to execute and replicate properly. The worm is a Control Panel applet (file with ".CPL" extension), its size is 236032 bytes.

The worm copies itself to the Windows directory and the root directory of disk C: with a random name consisting of digits and ".CPL" extension (for example, "832.cpl"). It also sets its copy up to load automatically when Windows starts by writing the following registry value:

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run   (Worm's file name) = rundll32.exe shell32.dll,Control_RunDLL (Worm's file name)      

for example,

832.cpl = rundll32.exe shell32.dll,Control_RunDLL 832.cpl  

The worm obtains e-mail addresses of the .NET Messenger contact list recipients, and writes them to the files called "commfig.sys" and "K32.vxd" in the Windows directory. Then it tries to send infected e-mails to these addresses. Due to errors in the worms code, the worm may not be able to replicate.

The worm tries to disable Kaspersky Anti-Virus and Panda Anti-Virus software by writing the follwing registry values:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run PAV.EXE = (Windows directory path)
  • HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles Folder = (Windows directory path)

It also searches for and tries to close windows with "Panda ActiveScan - Microsoft Internet Explorer" title, and to delete files at the following locations:

  • (Kaspersky Anti-Virus common files path)\Bases\avp.set
  • C:\archiv~1\perav\pav.dll
  • C:\archiv~1\perav\per.dll
  • C:\program files\perav\pav.dll
  • C:\program files\perav\per.dll
  • (Windows directory)\vshield.vxd
  • (Windows directory)\system32\vshield.vxd

Variant:I-Worm.Kitro.c

This version of the worm is similar to I-Worm.Kitro.b. It is a Control Panel applet, its size is either 545792 bytes, or 236032 bytes (packed variant). Its installation routine is equal to the one in the I-Worm.Kitro.b.

The worm makes its copies in the Kazaa shared directory, or in the root directory of disk C:, if the former doesn't exist. The names of the copies are the following:

 DivResidentEvil.ZIP.cpl  SpidermanDesktop.cpl  AVP_KeyActualization2002.ZIP  .cpl  Messenger_skins.ZIP       .cpl  Porno_sTar.cpl  CannibalCorpse.MP3.cpl  Sickofitall.Zip          .cpl  AXEbahia.cpl  NuevosVideosProfesorRossa.cpl  NewVideo_Blink182.cpl  LagWagon&Blink182.cpl  Hacking.cpl  AllMcAfeeCrack.Cpl  Britney_spearsVSDavidBeckham_AnalPasions.cpl  Crack.PerAntivirus.Zip    .cpl  JamieThomasVSrodneyMullen.cpl  MariguanaDesktop.cpl  AgeOfEmpires2_Crack.cpl  PSX2_Emulation.Zip         .cpl  GameCube.Zip           .cpl  Mames.Zip.cpl  Crack_Delphi5and6.Zip  .cpl  terminator2.cpl  BinladenFuckinBillGates.cpl  AnalPasswords.cpl  ElvisDesktop.cpl  B.cpl  Z.cpl  AVP_Spanish.cpl  ZoneAlarmCrack.cpl  HardXCore.cpl  PhotoShop6.xCrack.cpl  BioHazard.cpl  VisualBasic.Net.cpl  Zidane.Taliban.cpl  VideoPortoSeguro.cpl  PSX2EmulatorFree.Zip        .cpl  sexo_en_la_calle.cpl  sexo_anal_full_video.cpl  sexo_oriental_full_video.cpl  muertes_videos.cpl  fullvideo_anal_action.zip  .cpl    

The e-mail replication routine of this worm's variant is similar to its previous versions. The worm sends its copies in e-mail attachments to the recipients of the .NET Messenger contact list. The messages that contain the worm may have various subjects and bodies.

The attachments may have one of the following names:

 zorrita.cpl  jack.cpl  sickofitall.cpl  analpasswords.cpl  poema_angelical.cpl  testdeamor.cpl  Adulterio_en_tus_narices.cpl  Cristo.cpl  mundial.cpl  cristo2002.cpl  postal_de_mi_alma.cpl  estesoyyo.cpl  milposiciones.cpl  como_como.cpl  por_ahi_noooooo.cpl  lomasimportante.cpl  vidaymuerte.cpl  siemprevivir@setnet.cpl  milvidas.cpl  comoolvidarte.cpl  paulinasex.cpl  mentiras_en_hotmail.cpl  listado_de_hoaxes.cpl  zapato_en_el_culo.cpl  binladenDT.cpl  gooooooool.cpl  Fifaladen.cpl  788782.cpl  secretarias.cpl  test_secretontas.cpl  sere_yo_uno_de_esos.cpl  scarycrai.cpl  mentiras_mails.cpl  mcaffehoaxlist.cpl  tetris2002.cpl  zandias_meloones.cpl  quien_como_tu.cpl  portymore.cpl  listado_de_porquerias.cpl  billgatesscream.cpl    

Possible message subjects:

 Esta si que es zorra!!!  Fotos de asesinatos, Jack el Destripador, Charles Manson, y   muchos mas para decorar tu escritorio.  Yeahhh Mutha Facka... NY Brookling in your NET.  Genera passwords para poder entrar a las webs mas putonas de la   red, y gratis, incluso podras bajar peliculas porno.  Para los verdaderos amigos...  Test de amor.  30 pregutas para saber si tu pareja te engaa.  La imagen de cristo en un bosque.  mira como seria un mundial en la antigua mesopotamia.  Fotos de Cristo para decorar tu escritorio.  Te han enviado una postal.  Te acuerdas de mi?  Asi se hace el amor...  Asi me gusta a mi...  Esto doleria mucho, mucho :-).  Si esto no me lo regresas me sentire mal.  La vida despues de la muerte.  Me cambie de correo, aver si ahora me escribes...  Leelo y reenvialo a quienes mas amas.  Cancion de amor, para ti.  Paulina Rubio y su zorrita cosmica...  No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.  Ver el listado de falsas alarmas.  ja, la han cagado con este video.  Bin Laden DT de la seleccion de arabia...  Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.  Bin Laden presidente de la FIFA.  Dime que te parece esta animacion.  Una broma para las secretarias, ja ja.  Test para secretarias, para saber que tan tontas son.  41 preguntas para saber si alguien es sicopata.  mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.  listado de ultimas mentiras que circulan por los mails.  Last hoaxes list.  Hola  como te gustarian este par de tetitas.  Leelo y reenvialo a quienes mas amas.  mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.  listado de ultimas mentiras que circulan por los mails.  Bin Laden killing muthaFaka bill gates.    

Possible message bodies:

 si viste una mejor o la tuviste, es por que eres un guru. yaaaaaaaaa. nos  vemos.  dale un toque al escritorio, unos cadaveres por iconos, manson como fondo  de escritorio,  muy bueno.  HXC Sick Of It All.  si pues, con esto mete un nombre de usuario y te da un password segun  la pagina que seleccionaste, hasta hoy funciona, ojala que dure un tiempo  mas, saludos.  un amigo es muy dificil encontrar, pero tu eres uno de esos, la fortuna  esta conmigo.  leelo y luego me dices que tan enamorado estas o si es solo calentura  ja ja ja.nunca esta demas saberse estas cosillas, je je.  uno de los tantos milagros?, la imagen de cristo plasmada entre los  arboles.  jugando con craneos, el mejor ataque cortarle las manos al arquero,  je je.que mas hermoso que cristo en tu oficina o en tu hogar.postales.net  Service.  si no me recuerdas ni siquiera mirando la foto, es porque el vino era muy  bueno :o).  uuuuuuf,uufufufufufufuf, cuantas maneras de hacerlo, no?, derrepente  no conoces muchas de estas.  podrias complacerme?. habria que verlo y saberlo.  si crees lo contrario eres masoquista.  lee el archivo y sabras a quienes aprecias, sabras quienes son tus amigos.  una interesante tesis sobre este tema de conversasion que nunca pasa  de moda.  sigo teniendo fe en que lo hagas.  cristo esta en todas partes, el amor tambien pues ambos son uno.  una cancion es lo que ahora puedo dedicarte, mas tarde una flor y si lo  permites quizas mi imaginacion.  uuuuuuu, que perra mas rica ¿o no?.  es verdad, lee este documento y hecha a la basura todos esos mitos que  circulan. no todo lo que dicen es cierto, lee el documento y no te dejes enga±ar por  falsas alarmas. no se donde catalogarian este video, gore,chiste, terrorcomico,  o simplemente quemierda, ja ja.   si no se puede ganar con futbol, entonces con delanteros suicidas ja ja,  mira la foto.   no hay mejor ataque que un delantero con fusil, ni romario jio.   de seguro la seleccion yanki desaparece asi como la judia.   viste la de los huevos poetas, esta esta dirigida por el mismo director,  je je. nunca esta demas hacerle pasar un sustillo, ¿cierto?.   Test para secretarias, para saber que tan tontas son.   derepente eres uno del clan, si es asi unete a nosotros. simplemente ordinario, en serio.   ya sabes todas esas porquerias de envialo a tus amigos, borra esos  archivos, todos esos, leelos pa estar al dia.   in this document, all hoax that circulates until the day of today.   por favor lee el archivo y si puedes cooperar de alguna forma, una ni±a  te lo agradecera. sin comentarios. quede mudo.   creo que algo mas ordinario que eso seria un mojon sin choclo, ja jaja.   el listado actualizado de todas esas porquerias que llenan nuestros  e-mails this is one of the best photos fixed with photoshop, in fact the best one.    

Variant:I-Worm.Kitro.d

This version of the worm is similar to I-Worm.Kitro.b. It is a Control Panel applet, its size is 169984 bytes.

The worm copies itself to the Windows directory with following names:

 PostalDeAmistad.pif  Cristo_Nos_Ense±a.Doc.pif  Listado.txt.by.Microsoft.com  List.txt.by.Microsoft.com  PostalDeAmistad.pif  Facturas556.XLS.pif  EnLosAndes.pif  YaNoPuedoSerYoMismo.DOC.pif  ReparacionDeMessenger.DOC.pif  TestDeAmoryAmistad.DOC.pif      

Then the worm executes one of its copies in the Windows directory. It also randomly selects several its copies, and sets them up to be executed when Windows starts by writing the following autorun keys:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   BNexe = (one of the file names above)   Zonavirus = (path to the worm's copy)      

Depending upon internal conditions, the "Zonavirus" value may be overwritten with the current time value.

It also copies itself to the following locations: c:\zonavirus.Dll C:\Bn.exeWhile installing in the system, the worm shows a fake error message:

 Error  „„„„„  Not recognized error (random number)Hfor example,  Error   „„„„„   Not recognized error 10H      

The worm makes its copies in the Kazaa shared directory, or in the root directory of disk C:, if the former doesn't exist. The names of the copies are the following:

 AVP40Crack.exe  ResidentEvil-Crack.exe  AVP-SpanishPatch.exe  PandaAllCracks.exe  SexoenlaCalle-Video.exe  Sexo-Asiatico-FullVideo.exe  MessengerSkins29.exe  HackTools.exe  MP3EncoderDecoder58.exe  GameCube-FreeEmulator.exe  PSX2-Emulator.exe  X-Box_Emulator.exe  PSXEmulator_Full.exe  CounterStrikeMoreServers.exe  Jedi2-FullCrack.exe  W98ToXpActualization.exe  WindowsXP-Serials.exe  GamesPSX2Emulator.exe  CopyPSXgamesV12.exe    

The worm also overwrites all files in the Kazaa shared directory with its copies, and sets one of the overwritten files up to load when Windows starts by writing the following registry value:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 	KAZAAkCuF9=(Overwritten file's name) 	 	

The e-mail replication routine of this worm's variant is similar to its previous versions. The worm sends its copies in e-mail attachments to the recipients of the .NET Messenger contact list. The messages that contain the worm may have various subjects and bodies.

The attachments may have one of the following names:

 PostalDeAmistad.pif  Cristo_Nos_Ense±a.Doc.pif  Listado.txt.by.Microsoft.com  List.txt.by.Microsoft.com  PostalDeAmistad.pif  Facturas556.XLS.pif  EnLosAndes.pif  YaNoPuedoSerYoMismo.DOC.pif  ReparacionDeMessenger.DOC.pif  TestDeAmoryAmistad.DOC.pif     

Possible message subjects:

 Te han enviado una postal.  Leelo y reenvialo a quienes aprecias.  Listado de falsas alarmas.  This is a last hoax list.  Para los amigos  Facturas  Fw: Enviame tu foto.  Es posible que nos roben la identidad.  Messenger vulnerable  77:Test de amor.    

Possible message bodies:

 Postales NetWork (c)1999-2002. Si lo que expone este documento es lo que sientes, envialo a tus amigos,  algun sue±o se hara realidad. Te envio la lista de falsas alarmas, para que no hagas caso a las  mentiras, chao que estes bien. I send the list of false alarms, so that you do not make case to the lies  bye. Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que  dentro del documento se especifica, Saludos. bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta  el paisaje. lee el documento y veras que puede ser verdad, luego enviaselo a tus  amigos para que no les suceda eso. si, ahora nos pueden espiar la cuenta, te envio el documento donde dice  que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.   Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero  recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones. 




Technical Details:Kaspersky Labs; July 2002


SUBMIT A SAMPLE

Suspect a file or URL was wrongly detected? Submit a sample to our Labs for analysis

Submit Now

Give And Get Advice

Give advice. Get advice. Share the knowledge on our free discussion forum.

Learn More