Nom:Worm/Kebede.K
La date de la découverte:14/04/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:43.521 Octets
Somme de contrôle MD5:6e4c8509f235b08df0977943cf627df1
Version VDF:6.34.00.185

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Kebede.k
   •  TrendMicro: WORM_KEBEDE.E
   •  Bitdefender: Win32.Kebede.K@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\updtscheduler.exe



Il supprime les fichiers suivants:
   • %WINDIR%\srchasst\mui\0409\lcladvdf.xml
   • %WINDIR%\srchasst\mui\0409\balloon.xsl
   • %WINDIR%\srchasst\mui\0409\bar.xsl



Le fichier suivant est créé:

– Fichier inoffensif:
   • %le dossier d'exécution du malware%\%le fichier
      exécuté%.txt




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.geocitites.com/kbdbugchk/dwnld/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\file.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'analyse, ceci était déjà une nouvelle version de Malware

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Run = %SYSDIR%\updtscheduler.exe



On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • *Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • hostmaster@%le domaine du destinataire%
   • administrator@%le domaine du destinataire%
   • webmaster@%le domaine du destinataire%
   • postmaster@%le domaine du destinataire%


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses recueillies par l'intermédiaire des moteurs de recherche
– L'adresse email suivante:
   • kdgbugchk@yahoo.com


Sujet:
Un des suivants:
   • **MAIL ERROR**
   • Delivery Status Notification(failure)
   • Internal Mail Server Error
   • Mail Error: Server unavailable

Le corps de l'email est un des suivants:

   • Unexpected error occured while delivering your message. See the transcript.

   • Unhandled error occured. See log file in the attachment.

   • Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available.

   • Error: Server not responding. See the attached printable document.

   • %l'adresse email du destinataire% mail session 220334 http://www.%le domaine du destinataire%/sessionid.cgi?okssid23234=r has expiered. Your status is attached.


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

   • report.doc
   • log.txt
   • error.doc
   • partial_body
   • status.txt
   • %le nom d'utilisateur de l'adresse email du destinataire%_details

Parfois continué par un des suivants:
   • %espaces vides%

    L'extension du fichier est une des suivantes:
   • .scr
   • .pif
   • .cmd
   • .com
   • .bat
   • .zip



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • htm; dbx; wab; txt; eml; doc; css; rtf; js; php; asp; cgi; xhtm; vcf;
      xml; nws; msg; stml; inbox; oftw; phtm; xsl; dhtm; shtm; pab


Moteur de recherche:
Affin de recueillir plus d'adresses d'email il entre en contact avec le moteur de recherche suivant:
   • email.people.yahoo.com



Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • sopho; unix; @google; spm; @syman; norto; example; rating@; .gov;
      submit; kasper; abuse; domain.; spam; @mm; announce; @from; kernel.;
      sql.; zone; privacy; support; your; master@; you@; mozilla; linux;
      detect; bitdefender; mcafee; www; anyone; anywhere; somebody; someone;
      subscri; freeav; drweb; registe; report; name@; admin; spybot; nobody;
      help; secur; service; gmail.; sun.; info@; java.; smtp; sales@; foo.;
      feedback; @nai; noreply; receiver@; messagelab; virus; winzip; msdn.;
      winrar; accoun; borlan; contact; soft.; comment; pandasof;
      mailer-daem; sender@; remail; user@; password; @avp; me@; .mil;
      @trend; bugs; berkeley.; no-reply; spyware; resear; scan; news; wab;
      online; @ca.; update; esafe; commandc; cai.; ikaru; irisav;
      networkass; @drsolom; norman; @novast; rg-av.; thunderbyte.; mit.ed;
      office@; upgrade; sarc.; aol.


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • mx.
   • mx1.
   • mail.
   • smtp.
   • mx1.mail.
   • ns.
   • relay.
   • gate.
   • inbound.
   • public.

 Arrêt de processus:  Arrête l'exécution des processus qui contient une des chaînes de caractères suivantes dans le nom du fichier:
   • taskmgr.exe
   • regedit.exe
   • tasklist.exe
   • taskkill.exe
   • tskill.exe

 Informations divers Mutex:
Il crée le Mutex suivant:
   • [_-ANTI_-_ANTI_-_VIRUS-_]


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • New author of Kebede!! I took over the whole thing. And we will see you Sober

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le lundi 17 avril 2006
Description mise à jour par Andrei Gherman le mardi 18 avril 2006

Retour . . . .