Nombre:Worm/Kebede.K
Descubierto:14/04/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:43.521 Bytes
Suma de control MD5:6e4c8509f235b08df0977943cf627df1
Versión del VDF:6.34.00.185

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Email-Worm.Win32.Kebede.k
   •  TrendMicro: WORM_KEBEDE.E
   •  Bitdefender: Win32.Kebede.K@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\updtscheduler.exe



Elimina los siguientes ficheros:
   • %WINDIR%\srchasst\mui\0409\lcladvdf.xml
   • %WINDIR%\srchasst\mui\0409\balloon.xsl
   • %WINDIR%\srchasst\mui\0409\bar.xsl



Crea el siguiente fichero:

– Fichero no malicioso:
   • %directorio donde se ejecuta el programa viral%\%ficheros
      ejecutados%.txt




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocitites.com/kbdbugchk/dwnld/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\file.exe Además, este fichero es ejecutado después de haber sido completamente descargado. En el momento del análisis, ésta era una versión ya modificada del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Run = %SYSDIR%\updtscheduler.exe



Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • *Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es uno de los siguientes:
   • hostmaster@%dominio de los destinatarios%
   • administrator@%dominio de los destinatarios%
   • webmaster@%dominio de los destinatarios%
   • postmaster@%dominio de los destinatarios%


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Para: las direcciones recolectadas mediante los motores de búsqueda
– La siguiente dirección de correo electrónico:
   • kdgbugchk@yahoo.com


Asunto:
Uno de los siguientes:
   • **MAIL ERROR**
   • Delivery Status Notification(failure)
   • Internal Mail Server Error
   • Mail Error: Server unavailable

El cuerpo del mensaje es uno de los siguientes:

   • Unexpected error occured while delivering your message. See the transcript.

   • Unhandled error occured. See log file in the attachment.

   • Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available.

   • Error: Server not responding. See the attached printable document.

   • %dirección de correo del destinatario% mail session 220334 http://www.%dominio de los destinatarios%/sessionid.cgi?okssid23234=r has expiered. Your status is attached.


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

   • report.doc
   • log.txt
   • error.doc
   • partial_body
   • status.txt
   • %el nombre de usuario desde la dirección de correo del destinatario%_details

A veces seguido por una de las siguientes:
   • %espacios libres%

    La extensión del fichero es una de las siguientes:
   • .scr
   • .pif
   • .cmd
   • .com
   • .bat
   • .zip



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • htm; dbx; wab; txt; eml; doc; css; rtf; js; php; asp; cgi; xhtm; vcf;
      xml; nws; msg; stml; inbox; oftw; phtm; xsl; dhtm; shtm; pab


Motor de búsqueda:
Para recolectar más direcciones de correo electrónico, se conecta al siguiente motor de búsqueda:
   • email.people.yahoo.com



Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • sopho; unix; @google; spm; @syman; norto; example; rating@; .gov;
      submit; kasper; abuse; domain.; spam; @mm; announce; @from; kernel.;
      sql.; zone; privacy; support; your; master@; you@; mozilla; linux;
      detect; bitdefender; mcafee; www; anyone; anywhere; somebody; someone;
      subscri; freeav; drweb; registe; report; name@; admin; spybot; nobody;
      help; secur; service; gmail.; sun.; info@; java.; smtp; sales@; foo.;
      feedback; @nai; noreply; receiver@; messagelab; virus; winzip; msdn.;
      winrar; accoun; borlan; contact; soft.; comment; pandasof;
      mailer-daem; sender@; remail; user@; password; @avp; me@; .mil;
      @trend; bugs; berkeley.; no-reply; spyware; resear; scan; news; wab;
      online; @ca.; update; esafe; commandc; cai.; ikaru; irisav;
      networkass; @drsolom; norman; @novast; rg-av.; thunderbyte.; mit.ed;
      office@; upgrade; sarc.; aol.


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mx1.
   • mail.
   • smtp.
   • mx1.mail.
   • ns.
   • relay.
   • gate.
   • inbound.
   • public.

 Finalización de los procesos  No permiten la ejecución de los procesos cuyos nombres incluyen una de las siguientes series de caracteres:
   • taskmgr.exe
   • regedit.exe
   • tasklist.exe
   • taskkill.exe
   • tskill.exe

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • [_-ANTI_-_ANTI_-_VIRUS-_]


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • New author of Kebede!! I took over the whole thing. And we will see you Sober

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el lunes 17 de abril de 2006
Descripción actualizada por Andrei Gherman el martes 18 de abril de 2006

Volver . . . .