Nume:Worm/Kebede.K
Descoperit pe data de:14/04/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:43.521 Bytes
MD5:6e4c8509f235b08df0977943cf627df1
Versiune VDF:6.34.00.185

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Kebede.k
   •  TrendMicro: WORM_KEBEDE.E
   •  Bitdefender: Win32.Kebede.K@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\updtscheduler.exe



Sterge urmatoarele fisiere:
   • %WINDIR%\srchasst\mui\0409\lcladvdf.xml
   • %WINDIR%\srchasst\mui\0409\balloon.xsl
   • %WINDIR%\srchasst\mui\0409\bar.xsl



Este creat fisierul:

– Fisier inofensiv:
   • %directorul de activare malware%\%fisier executat%.txt




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.geocitites.com/kbdbugchk/dwnld/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\file.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. In momentul analizei, aceasta era deja o noua versiune de malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Run = %SYSDIR%\updtscheduler.exe



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • *Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • hostmaster@%domeniul destinatarului%
   • administrator@%domeniul destinatarului%
   • webmaster@%domeniul destinatarului%
   • postmaster@%domeniul destinatarului%


Catre:
– Adrese de email gasite pe sistem.
– Catre: adresele colectate prin motoare de cautare
– Urmatoarea adresa de email:
   • kdgbugchk@yahoo.com


Subiect:
Unul din urmatoarele:
   • **MAIL ERROR**
   • Delivery Status Notification(failure)
   • Internal Mail Server Error
   • Mail Error: Server unavailable

Corpul email-ului este unul din textele:

   • Unexpected error occured while delivering your message. See the transcript.

   • Unhandled error occured. See log file in the attachment.

   • Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available.

   • Error: Server not responding. See the attached printable document.

   • %adresa destinatarului% mail session 220334 http://www.%domeniul destinatarului%/sessionid.cgi?okssid23234=r has expiered. Your status is attached.


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

   • report.doc
   • log.txt
   • error.doc
   • partial_body
   • status.txt
   • %nume utilizator al adresei destinatarului%_details

Urmata uneori de una din urmatoarele:
   • %spatii libere%

    Extensia fisierului este una din urmatoarele:
   • .scr
   • .pif
   • .cmd
   • .com
   • .bat
   • .zip



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • htm; dbx; wab; txt; eml; doc; css; rtf; js; php; asp; cgi; xhtm; vcf;
      xml; nws; msg; stml; inbox; oftw; phtm; xsl; dhtm; shtm; pab


Motor de cautare:
Pentru a colecta mai multe adrese de email, se conecteaza la motorul de cautare:
   • email.people.yahoo.com



Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • sopho; unix; @google; spm; @syman; norto; example; rating@; .gov;
      submit; kasper; abuse; domain.; spam; @mm; announce; @from; kernel.;
      sql.; zone; privacy; support; your; master@; you@; mozilla; linux;
      detect; bitdefender; mcafee; www; anyone; anywhere; somebody; someone;
      subscri; freeav; drweb; registe; report; name@; admin; spybot; nobody;
      help; secur; service; gmail.; sun.; info@; java.; smtp; sales@; foo.;
      feedback; @nai; noreply; receiver@; messagelab; virus; winzip; msdn.;
      winrar; accoun; borlan; contact; soft.; comment; pandasof;
      mailer-daem; sender@; remail; user@; password; @avp; me@; .mil;
      @trend; bugs; berkeley.; no-reply; spyware; resear; scan; news; wab;
      online; @ca.; update; esafe; commandc; cai.; ikaru; irisav;
      networkass; @drsolom; norman; @novast; rg-av.; thunderbyte.; mit.ed;
      office@; upgrade; sarc.; aol.


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • mx.
   • mx1.
   • mail.
   • smtp.
   • mx1.mail.
   • ns.
   • relay.
   • gate.
   • inbound.
   • public.

 Terminarea proceselor  Opreste executia proceselor care contin unul din urmatoarele siruri de caractere in numele de fisier:
   • taskmgr.exe
   • regedit.exe
   • tasklist.exe
   • taskkill.exe
   • tskill.exe

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • [_-ANTI_-_ANTI_-_VIRUS-_]


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • New author of Kebede!! I took over the whole thing. And we will see you Sober

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Monday, April 17, 2006
Description updated by Andrei Gherman on Tuesday, April 18, 2006

Back . . . .