• Sábado 9 de Noviembre de 2024, 03:43

Autor Tema:  Kelvir.eo  (Leído 1714 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Kelvir.eo
« en: Viernes 30 de Junio de 2006, 14:58 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:29-06-2006
Última Actualización:29-06-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kelvir.EO    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Kelvir.EO.worm (Panda Software)
Detalles

Kelvir.EO realiza las siguientes acciones:

    * Se conecta al canal #dvm del servidor IRC Microsoft-systems.net, a través del puerto 5555, y espera órdenes de control remoto para llevar a cabo en el ordenador afectado.
    * Puede recibir cualquiera de las siguientes órdenes:
          o Obtener claves de Protected Storage, donde se encuentran almacenadas las contraseñas de Outlook, Internet Explorer, etc.
          o Robar cuentas de correo de America Online.
          o Actualizar la caché DNS (Domain Name System).
          o Abrir una consola CMD.EXE remota.
          o Listar y finalizar procesos.
          o Escanear un ordenador determinado.
          o Iniciar o detener la búsqueda de ordenadores vulnerables.
          o Obtener información sobre el ordenador, como memoria disponible o discos duros.
          o Actualizarse a sí mismo.
          o Eliminarse a sí mismo.
    * Instala el rootkit Ruffle.A, que utiliza para ocultarse.

Kelvir.EO crea los siguientes archivos:

    * RIFK.EXE en el directorio de Windows. Este archivo es una copia del gusano.
    * ROFL.SYS en el directorio de sistema de Windows. Este archivo es detectado como el rootkit Ruffle.A.

Kelvir.EO se propaga a través de Internet y realiza el siguiente proceso:

    * Instala su propio servidor FTP (File Transfer Protocol) en el ordenador afectado.
    * Genera direcciones IP aleatorias.
    * Intenta explotar las vulnerabilidades LSASS, RPC DCOM, Workstation Service y Plug and Play en los ordenadores remotos.
    * Si lo consigue, transfiere una copia de sí mismo al ordenador comprometido a través de FTP.
El pasado son solo recuerdos, el futuro son solo sueños