Nombre:Worm/Kipis.g
Descubierto:24/01/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:16.000 Bytes
Suma de control MD5:095aac37b121cd3e36a2bba0ea8a26a7
Versión del VDF:6.29.00.77

 General Métodos de propagación:
   • Correo electrónico
   • Peer to Peer


Alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.d@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.g
   •  TrendMicro: WORM_KIPIS.C
   •  Sophos: W32/Kipis-G
   •  Grisoft: I-Worm/Kipis.F
   •  VirusBuster: I-Worm.Kipis.C
   •  Eset: Win32/Kipis.G
   •  Bitdefender: Win32.Kipis.G@mm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\regedit.com
   • %SYSDIR%\netstat.com
   • %SYSDIR%\Microsoft\svchost.exe

 Registro Modifica la siguiente clave del registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\svchost.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • Hello
   • Hi
   • Letter
   • Love
   • message
   • Re: Hello
   • Re: Hi
   • Re: Letter
   • Re: Love
   • Re: message



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • With the coming Valentine's day. :)

   • What for you have send me this letter?
     I have read, i precisely do not know you.

   • What for you have send me this letter?

   • Greetings, you do not know me,
     me asked to send you this love letter.

   • Please look my Love letter..
     Bye.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • letter.pif
   • message.pif
   • Love.pif
   • link.love you.php679807.pif
   • I-LOVE-YOU.pif

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • html; eml; xls; xml; uin; tbb; dbx; doc; htm; adb; txt


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; mary; bill; toma; linda; stan; mike; anna; adam; maria; rosa;
      stiv; liza; dana; alex

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • bitdefend; mailer; podpiska; accoun; listserv; newvir; antivir;
      support; admin; sales; news; info; site; webmaney; drweb; where;
      abuse; rating; the.bat; page; soft; register; notice; help; bugs;
      contact; service; kaspersky; nod32; privacy; webmaster; postmaster;
      rfc-; ripe.; sybari; anyone; mozilla; sendmail; pgp; secur; fido;
      google; .edu; mydomai; gov.; foo.; iruslis; norman; e-trust-; .hlp;
      .gov; nodomai; borlan; hotmail; f-prot; klamav; bitdefen; sopho;
      syman; software.; .mil; panda; msn.; icrosoft; avp


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mail.
   • mx1.
   • mx.
   • smtp.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • upload
   • incomin
   • downloa
   • grokste
   • shar

   Al tener éxito, crea los siguientes ficheros:
   • Porno arhive(sex,oral,anal,bdsm).scr
   • Winamp 6 full.exe
   • MS Office XP Crack.exe
   • Crack collection(6 892).exe
   • KAV 5.0x Keygen.exe
   • WinXP SP3 crack.exe
   • MyProxy 7.0x crack.exe


 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • filemon.; regmon.; nopdb.; escanhnt.; frw.; upw; rewall; guard.;
      ccapp.; blackd.; sphinx.; maniac.; bscan; protect; suchost.; safe;
      taumon; kerio; blackice; fiaudit.; upgrade; update; alarm; post;
      rising; winit.; symantec; gate; kav; mcafee; nav; luall.; rweb; duba;
      svchosl.; avmon


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% en el puerto TCP 7312 para proporcionar capabilidades de backdoor.

 Informaciones diversas Crea el siguiente objeto mutex:
   • -= KiPiSh - GFxPRO - 0x1.0 =-

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Irina Boldea el lunes 14 de agosto de 2006
Descripción actualizada por Irina Boldea el martes 15 de agosto de 2006

Volver . . . .