W32/Kitro-D is an email worm which arrives in an email with one of the following subject line, message body and attachment name combinations:
Subject line: Te han enviado una postal
Message body: Postales NetWork (c)1999-2002
Attached file: PostalDeAmistad.pif
Subject line: Leelo y reenvialo a quienes aprecias.
Message body: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Attached file: Cristo_Nos_Enseña.Doc.pif
Subject line: Listado de falsas alarmas
Message body: Te envio la lista de falsas alarmas, para que no hagas casoa las mentiras, chao que estes bien
Attached file: Listado.txt.by.Microsoft.com
Subject line: This is a last hoax list
Message body: I send the list of false alarms, so that you do not make case to the lies bye
Attached file: List.txt.by.Microsoft.com
Subject line: Para los amigos
Message body:
Facturas
Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Attached file: Facturas556.XLS.pif
Subject line: Fw: Enviame tu foto
Message body: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje
Attached file: EnLosAndes.pif
Subject line: Es posible que nos roben la identidad
Message body: lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso
Attached file: YaNoPuedoSerYoMismo.DOC.pif
Subject line: Messenger vulnerable
Message body: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible
Attached file: ReparacionDeMessenger.DOC.pif
Subject line: 77:Test de amor
Message body: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones
Attached file: TestDeAmoryAmistad.DOC.pif
When run it will copy itself to the following locations:
In C:\ as:
" .exe"
"AUTOEXEC.BAT .exe"
"AVP-SpanishPatch.exe"
"AVP40Crack.exe"
"BOOTLOG.PRV .exe"
"COMMAND.COM .exe"
"Config.sys .exe"
"CopyPSXgamesV12.exe"
"CounterStrikeMoreServers.exe"
"GameCube-FreeEmulator.exe"
"GamesPSX2Emulator.exe"
"HackTools.exe"
"IO.SYS .exe"
"Jedi2-FullCrack.exe"
"MessengerSkins29.exe"
"MP3EncoderDecoder58.exe"
"MSDOS.--- .exe"
"MSDOS.SYS .exe"
"PandaAllCracks.exe"
"PSX2-Emulator.exe"
"PSXEmulator_Full.exe"
"ResidentEvil-Crack.exe"
"SCANDISK.LOG .exe"
"Sexo-Asiatico-FullVideo.exe"
"SexoenlaCalle-Video.exe"
"SUHDLOG.DAT .exe"
"SYSTEM.1ST .exe"
"VIDEOROM.BIN .exe"
"W98ToXpActualization.exe"
"WindowsXP-Serials.exe"
"X-Box_Emulator.exe"
"z .exe"
and in C:\Windows as:
"Cristo_Nos_Ensea.Doc.pif"
"EnLosAndes.pif"
"Facturas556.XLS.pif"
"List.txt.by.Microsoft.com"
"Listado.txt.by.Microsoft.com"
"PostalDeAmistad.pif"
"ReparacionDeMessenger.DOC.pif"
"ShellIconCache"
"TestDeAmoryAmistad.DOC.pif"
"YaNoPuedoSerYoMismo.DOC.pif"
The worm will set the following registry entry to point to one of the files created in C:\Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NWexe
The worm will also create the following registry entries:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAZAAkCuf = 9
HKLM\Software\KasperskyLab\SharedFiles\Folder = <random number>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
PAV.EXE = <random number>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ZonaVirus = 0
The worm drops a Visual Basic script in C:\BanderaNegra.vbs. This script attempts to email the worm to contacts in the Outlook address book. The script is detected as VBS/Kitro-D.