Nombre:Worm/Kidala.G
Descubierto:04/08/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Alto
Potencial dañino:Medio
Fichero estático:
Tamaño:72.856 Bytes
Suma de control MD5:569eec9ad7abea95378c62e095693dcf
Versión del VDF:6.35.01.46 - viernes 4 de agosto de 2006
Versión del IVDF:6.35.01.46 - viernes 4 de agosto de 2006

 General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Peer to Peer


Alias:
   •  Kaspersky: Net-Worm.Win32.Kidala.g
   •  Eset: Win32/Mytob.UA worm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\VideoCall.exe



Añade secciones a los siguientes ficheros:
– Para: *.rar Con el siguiente contenido:
   • %ficheros ejecutados%




Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\speeder.exe
   • %SYSDIR%\PCspeeder.exe
   • %SYSDIR%\syscom.exe
   • %SYSDIR%\uptodate.exe
   • %SYSDIR%\fixed.exe
   • %SYSDIR%\msl.exe
   • %SYSDIR%\autoupdate.exe
   • %SYSDIR%\sword.exe
   • %SYSDIR%\lcd.exe
   • %SYSDIR%\lsd.exe
   • %SYSDIR%\win24.exe
   • %SYSDIR%\windows24.exe
   • %SYSDIR%\0.exe
   • %SYSDIR%\sysmon.exe
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winload.exe
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Skype = %SYSDIR%\VideoCall.exe



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ISPup
   • PCup
   • com+
   • fixed
   • uptodate
   • msl
   • black
   • windows
   • lcd
   • lsdsystem
   • win24
   • Windows34
   • Bigen
   • win32
   • sys32x
   • systems



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor anterior:
   • EnableFirewall = %configuración definida por el usuario%
   Nuevo valor:
   • EnableFirewall = 0

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • Hello
   • Hi
   • Test



El cuerpo del mensaje:
–  En algunos casos puede estar vacío.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    La extensión del fichero es una de las siguientes:
   • .bat
   • .cmd
   • .exe
   • .scr
   • .pif
   • .zip



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • microsoft.com
   • msn.com
   • ayna.com
   • maktoob.com
   • usa.net
   • usa.com
   • yahoo.com
   • hotmail.com


Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .edu; abuse; www; fcnz; spm; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; feste; submit;
      not; help; service; privacy; somebody; soft; contact; site; rating;
      bugs; you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; mozilla; utgers.ed; tanford.e; pgp;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf;
      iana; usenet; fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e;
      bsd; math; unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • %PROGRAM FILES%\eDonkey2000\incoming\
   • %PROGRAM FILES%\\LimeWire\Shared\

   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • HKLM\Software\Kazaa\LocalContent\DownloadDir
   • HKLM\SOFTWARE\Morpheus\Install_Dir
   • HKLM\SOFTWARE\iMesh\Client\DownloadsLocation
   • HKCU\SOFTWARE\WarezP2P\wp

Busca todas las carpetas compartidas en la red.

   Al tener éxito, crea los siguientes ficheros:
   • Angilina_Jolie_Sucks_a_Dick; JenniferLopez_Film_Sexy_Enough;
      BritneySpears_SoSexy; DAP7.4.x.x_crack; NortonAV2006_Crack;
      Alcohol_120%%_patch; Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly; nuke2006; office_crack;
      rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; TaskCatcher; Opera8; notepad++;
      lcc-win32_update; RealPlayerv10.xx_crack; YahooMessenger_Loader;
      MSN7.0UniversalPatch; MSN7.0Loader; KAV2006_Crack;
      ZoneAlarmPro6.xx_Crack; nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; ACDSee 9.com; Matrix 3
      Revolution English Subtitles.scr; Adobe Photoshop 9 full.com; WinAmp 5
      Pro Keygen Crack Update.com; WinAmp 6 New!.com; XXX hardcore
      images.scr; Opera 8 New!.com; Windown Longhorn Beta Leak.pif; Ahead
      Nero 7.com; Windows Sourcecode update.doc.pif; Porno pics arhive,
      xxx.scr; Kaspersky Antivirus 5.0.com; KAV 5.0.com; Serials.txt.bat;
      Porno Screensaver.scr; Porno, sex, oral, anal cool, awesome!!.scr;
      Microsoft Office XP working Crack, Keygen.pif; Microsoft Windows XP,
      WinXP Crack, working Keygen.pif; Microsoft Office 2003 Crack,
      Working!.pif

   Estos ficheros son copias del programa malicioso.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Parche para Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)
– Puerta trasera Bagle (puerto 2745)
– Puerta trasera Mydoom (puerto 3127)
– Puerta trasera Optix (puerto 3140)
– Administración remota DameWare (puerto 6129)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC – Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Ejecutar ataque DDoS


Propagación:
– Crea un fichero llamado script.ini para difundir una copia suya mediante IRC.

 Finalización de los procesos Listado de los procesos finalizados:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • HGFSMUTEX

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el viernes 4 de agosto de 2006
Descripción actualizada por Andrei Gherman el viernes 4 de agosto de 2006

Volver . . . .