Nume:Worm/Kipis.g
Descoperit pe data de:24/01/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:16.000 Bytes
MD5:095aac37b121cd3e36a2bba0ea8a26a7
Versiune VDF:6.29.00.77

 General Metode de raspandire:
   • Email
   • Peer to Peer


Alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.d@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.g
   •  TrendMicro: WORM_KIPIS.C
   •  Sophos: W32/Kipis-G
   •  Grisoft: I-Worm/Kipis.F
   •  VirusBuster: I-Worm.Kipis.C
   •  Eset: Win32/Kipis.G
   •  Bitdefender: Win32.Kipis.G@mm


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\regedit.com
   • %SYSDIR%\netstat.com
   • %SYSDIR%\Microsoft\svchost.exe

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\svchost.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • Hello
   • Hi
   • Letter
   • Love
   • message
   • Re: Hello
   • Re: Hi
   • Re: Letter
   • Re: Love
   • Re: message



Corpul email-ului:
Corpul email-ului este unul din textele:

   • With the coming Valentine's day. :)

   • What for you have send me this letter?
     I have read, i precisely do not know you.

   • What for you have send me this letter?

   • Greetings, you do not know me,
     me asked to send you this love letter.

   • Please look my Love letter..
     Bye.


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • letter.pif
   • message.pif
   • Love.pif
   • link.love you.php679807.pif
   • I-LOVE-YOU.pif

Atasamentul este o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • html; eml; xls; xml; uin; tbb; dbx; doc; htm; adb; txt


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; mary; bill; toma; linda; stan; mike; anna; adam; maria; rosa;
      stiv; liza; dana; alex

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • bitdefend; mailer; podpiska; accoun; listserv; newvir; antivir;
      support; admin; sales; news; info; site; webmaney; drweb; where;
      abuse; rating; the.bat; page; soft; register; notice; help; bugs;
      contact; service; kaspersky; nod32; privacy; webmaster; postmaster;
      rfc-; ripe.; sybari; anyone; mozilla; sendmail; pgp; secur; fido;
      google; .edu; mydomai; gov.; foo.; iruslis; norman; e-trust-; .hlp;
      .gov; nodomai; borlan; hotmail; f-prot; klamav; bitdefen; sopho;
      syman; software.; .mil; panda; msn.; icrosoft; avp


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mail.
   • mx1.
   • mx.
   • smtp.

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


   Cauta directoarele care au in numele lor unul din urmatoarele texte:
   • upload
   • incomin
   • downloa
   • grokste
   • shar

   Daca reuseste, sunt create urmatoarele fisiere:
   • Porno arhive(sex,oral,anal,bdsm).scr
   • Winamp 6 full.exe
   • MS Office XP Crack.exe
   • Crack collection(6 892).exe
   • KAV 5.0x Keygen.exe
   • WinXP SP3 crack.exe
   • MyProxy 7.0x crack.exe


 Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • filemon.; regmon.; nopdb.; escanhnt.; frw.; upw; rewall; guard.;
      ccapp.; blackd.; sphinx.; maniac.; bscan; protect; suchost.; safe;
      taumon; kerio; blackice; fiaudit.; upgrade; update; alarm; post;
      rising; winit.; symantec; gate; kav; mcafee; nav; luall.; rweb; duba;
      svchosl.; avmon


 Backdoor Deschide portul

%directorul de activare malware%\%fisier executat% pe portul TCP 7312 pentru a oferi functionalitate de backdoor.

 Alte informatii Creeaza urmatorul mutex:
   • -= KiPiSh - GFxPRO - 0x1.0 =-

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Descripción insertada por Irina Boldea el lunes 14 de agosto de 2006
Descripción actualizada por Irina Boldea el martes 15 de agosto de 2006

Volver . . . .