Worm/Kebede.K - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Kebede.K
Descubierto:	14/04/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	43.521 Bytes
Suma de control MD5:	6e4c8509f235b08df0977943cf627df1
Versión del VDF:	6.34.00.185

General Método de propagación:
   • Correo electrónico

Alias:
   • Kaspersky: Email-Worm.Win32.Kebede.k
   • TrendMicro: WORM_KEBEDE.E
   • Bitdefender: Win32.Kebede.K@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\updtscheduler.exe

Elimina los siguientes ficheros:
   • %WINDIR%\srchasst\mui\0409\lcladvdf.xml
   • %WINDIR%\srchasst\mui\0409\balloon.xsl
   • %WINDIR%\srchasst\mui\0409\bar.xsl

Crea el siguiente fichero:

– Fichero no malicioso:
   • %directorio donde se ejecuta el programa viral%\%ficheros
      ejecutados%.txt

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocitites.com/kbdbugchk/dwnld/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\file.exe Además, este fichero es ejecutado después de haber sido descargago. En el momento del análisis, ésta era una versión ya modificada del virus.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Run = %SYSDIR%\updtscheduler.exe

Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • *Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es uno de los siguientes:
   • hostmaster@%dominio de los destinatarios%
   • administrator@%dominio de los destinatarios%
   • webmaster@%dominio de los destinatarios%
   • postmaster@%dominio de los destinatarios%

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Para: las direcciones recolectadas mediante los motores de búsqueda
– The following email address: (es)
   • kdgbugchk@yahoo.com

Asunto:
Uno de los siguientes:
   • **MAIL ERROR**
   • Delivery Status Notification(failure)
   • Internal Mail Server Error
   • Mail Error: Server unavailable

El cuerpo del mensaje es uno de los siguientes:

   • Unexpected error occured while delivering your message. See the transcript.

   • Unhandled error occured. See log file in the attachment.

   • Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available.

   • Error: Server not responding. See the attached printable document.

   • %dirección de correo del destinatario% mail session 220334 http://www.%dominio de los destinatarios%/sessionid.cgi?okssid23234=r has expiered. Your status is attached.

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

   • report.doc
   • log.txt
   • error.doc
   • partial_body
   • status.txt
   • %el nombre de usuario desde la dirección de correo del destinatario%_details

A veces seguido por una de las siguientes:
   • %espacios libres%

    La extensión del fichero es una de las siguientes:
   • .scr
   • .pif
   • .cmd
   • .com
   • .bat
   • .zip

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • htm; dbx; wab; txt; eml; doc; css; rtf; js; php; asp; cgi; xhtm; vcf;
      xml; nws; msg; stml; inbox; oftw; phtm; xsl; dhtm; shtm; pab

Motor de búsqueda:
Para recolectar más direcciones de correo electrónico, se conecta al siguiente motor de búsqueda:
   • email.people.yahoo.com

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • sopho; unix; @google; spm; @syman; norto; example; rating@; .gov;
      submit; kasper; abuse; domain.; spam; @mm; announce; @from; kernel.;
      sql.; zone; privacy; support; your; master@; you@; mozilla; linux;
      detect; bitdefender; mcafee; www; anyone; anywhere; somebody; someone;
      subscri; freeav; drweb; registe; report; name@; admin; spybot; nobody;
      help; secur; service; gmail.; sun.; info@; java.; smtp; sales@; foo.;
      feedback; @nai; noreply; receiver@; messagelab; virus; winzip; msdn.;
      winrar; accoun; borlan; contact; soft.; comment; pandasof;
      mailer-daem; sender@; remail; user@; password; @avp; me@; .mil;
      @trend; bugs; berkeley.; no-reply; spyware; resear; scan; news; wab;
      online; @ca.; update; esafe; commandc; cai.; ikaru; irisav;
      networkass; @drsolom; norman; @novast; rg-av.; thunderbyte.; mit.ed;
      office@; upgrade; sarc.; aol.

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mx1.
   • mail.
   • smtp.
   • mx1.mail.
   • ns.
   • relay.
   • gate.
   • inbound.
   • public.

Finalización de los procesos No permiten la ejecución de los procesos cuyos nombres incluyen una de las siguientes series de caracteres:
   • taskmgr.exe
   • regedit.exe
   • tasklist.exe
   • taskkill.exe
   • tskill.exe

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• [_-ANTI_-_ANTI_-_VIRUS-_]

Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
• New author of Kebede!! I took over the whole thing. And we will see you Sober

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 17 Apr 2006 16:51 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 18 Apr 2006 09:16 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver