Nume:Worm/Kidala.G
Descoperit pe data de:04/08/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:72.856 Bytes
MD5:569eec9ad7abea95378c62e095693dcf
Versiune VDF:6.35.01.46 - Friday, August 4, 2006
Versiune IVDF:6.35.01.46 - Friday, August 4, 2006

 General Metode de raspandire:
   • Email
   • Reteaua locala
   • Peer to Peer


Alias:
   •  Kaspersky: Net-Worm.Win32.Kidala.g
   •  Eset: Win32/Mytob.UA worm


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\VideoCall.exe



Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: *.rar Cu urmatorul continut:
   • %fisier executat%




Sterge copia initiala a virusului.



Sterge urmatoarele fisiere:
   • %SYSDIR%\speeder.exe
   • %SYSDIR%\PCspeeder.exe
   • %SYSDIR%\syscom.exe
   • %SYSDIR%\uptodate.exe
   • %SYSDIR%\fixed.exe
   • %SYSDIR%\msl.exe
   • %SYSDIR%\autoupdate.exe
   • %SYSDIR%\sword.exe
   • %SYSDIR%\lcd.exe
   • %SYSDIR%\lsd.exe
   • %SYSDIR%\win24.exe
   • %SYSDIR%\windows24.exe
   • %SYSDIR%\0.exe
   • %SYSDIR%\sysmon.exe
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winload.exe
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Skype = %SYSDIR%\VideoCall.exe



Valorile urmatoarei chei sunt sterse din registrii sistemului:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ISPup
   • PCup
   • com+
   • fixed
   • uptodate
   • msl
   • black
   • windows
   • lcd
   • lsdsystem
   • win24
   • Windows34
   • Bigen
   • win32
   • sys32x
   • systems



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Vechea valoare:
   • EnableFirewall = %setarile utilizatorului%
   Noua valoare:
   • EnableFirewall = 0

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • Hello
   • Hi
   • Test



Corpul email-ului:
–  Uneori corpul email-ului este gol.
–  Uneori poate contine caractere aleatoare.
Corpul email-ului este unul din textele:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    Extensia fisierului este una din urmatoarele:
   • .bat
   • .cmd
   • .exe
   • .scr
   • .pif
   • .zip



Email-ul poate arata ca unul din urmatoarele:



 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • microsoft.com
   • msn.com
   • ayna.com
   • maktoob.com
   • usa.net
   • usa.com
   • yahoo.com
   • hotmail.com


Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • .edu; abuse; www; fcnz; spm; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; feste; submit;
      not; help; service; privacy; somebody; soft; contact; site; rating;
      bugs; you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; mozilla; utgers.ed; tanford.e; pgp;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf;
      iana; usenet; fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e;
      bsd; math; unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatoarele directoare:
   • %PROGRAM FILES%\eDonkey2000\incoming\
   • %PROGRAM FILES%\\LimeWire\Shared\

   Extrage fisierele partajate, folosind urmatoarele chei de registru:
   • HKLM\Software\Kazaa\LocalContent\DownloadDir
   • HKLM\SOFTWARE\Morpheus\Install_Dir
   • HKLM\SOFTWARE\iMesh\Client\DownloadsLocation
   • HKCU\SOFTWARE\WarezP2P\wp

Cauta toate directoarele partajate in retea.

   Daca reuseste, sunt create urmatoarele fisiere:
   • Angilina_Jolie_Sucks_a_Dick; JenniferLopez_Film_Sexy_Enough;
      BritneySpears_SoSexy; DAP7.4.x.x_crack; NortonAV2006_Crack;
      Alcohol_120%%_patch; Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly; nuke2006; office_crack;
      rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; TaskCatcher; Opera8; notepad++;
      lcc-win32_update; RealPlayerv10.xx_crack; YahooMessenger_Loader;
      MSN7.0UniversalPatch; MSN7.0Loader; KAV2006_Crack;
      ZoneAlarmPro6.xx_Crack; nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; ACDSee 9.com; Matrix 3
      Revolution English Subtitles.scr; Adobe Photoshop 9 full.com; WinAmp 5
      Pro Keygen Crack Update.com; WinAmp 6 New!.com; XXX hardcore
      images.scr; Opera 8 New!.com; Windown Longhorn Beta Leak.pif; Ahead
      Nero 7.com; Windows Sourcecode update.doc.pif; Porno pics arhive,
      xxx.scr; Kaspersky Antivirus 5.0.com; KAV 5.0.com; Serials.txt.bat;
      Porno Screensaver.scr; Porno, sex, oral, anal cool, awesome!!.scr;
      Microsoft Office XP working Crack, Keygen.pif; Microsoft Windows XP,
      WinXP Crack, working Keygen.pif; Microsoft Office 2003 Crack,
      Working!.pif

   Aceste fişiere sunt copii ale malware-ului.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– VX05-006 (Remote Heap Overflow la folosirea VERITAS Backup Exec Admin Plus Pack Option)
– Bagle backdoor (port 2745)
– Mydoom backdoor (port 3127)
– Optix backdoor (port 3140)
– Administrare remote DameWare (port 6129)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP pe sistemul afectat, pentru a descarca un malware pe un computer controlat la distanta.

 IRC – In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • executare atac DDoS


Raspandire:
– Creeaza un fisier numit script.ini pentru a raspandi copii ale sale prin IRC.

 Terminarea proceselor Lista cu procesele oprite:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • HGFSMUTEX

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Friday, August 4, 2006
Description updated by Andrei Gherman on Friday, August 4, 2006

Back . . . .