SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Viernes 30 de Junio de 2006, 14:58
-
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:29-06-2006
Última Actualización:29-06-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kelvir.EO
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Kelvir.EO.worm (Panda Software)
Detalles
Kelvir.EO realiza las siguientes acciones:
* Se conecta al canal #dvm del servidor IRC Microsoft-systems.net, a través del puerto 5555, y espera órdenes de control remoto para llevar a cabo en el ordenador afectado.
* Puede recibir cualquiera de las siguientes órdenes:
o Obtener claves de Protected Storage, donde se encuentran almacenadas las contraseñas de Outlook, Internet Explorer, etc.
o Robar cuentas de correo de America Online.
o Actualizar la caché DNS (Domain Name System).
o Abrir una consola CMD.EXE remota.
o Listar y finalizar procesos.
o Escanear un ordenador determinado.
o Iniciar o detener la búsqueda de ordenadores vulnerables.
o Obtener información sobre el ordenador, como memoria disponible o discos duros.
o Actualizarse a sí mismo.
o Eliminarse a sí mismo.
* Instala el rootkit Ruffle.A, que utiliza para ocultarse.
Kelvir.EO crea los siguientes archivos:
* RIFK.EXE en el directorio de Windows. Este archivo es una copia del gusano.
* ROFL.SYS en el directorio de sistema de Windows. Este archivo es detectado como el rootkit Ruffle.A.
Kelvir.EO se propaga a través de Internet y realiza el siguiente proceso:
* Instala su propio servidor FTP (File Transfer Protocol) en el ordenador afectado.
* Genera direcciones IP aleatorias.
* Intenta explotar las vulnerabilidades LSASS, RPC DCOM, Workstation Service y Plug and Play en los ordenadores remotos.
* Si lo consigue, transfiere una copia de sí mismo al ordenador comprometido a través de FTP.