Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Kipis.U
La date de la dcouverte:21/09/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:7.856 Octets
Somme de contrle MD5:3030c85b4a6135a1d35bd9ab2d1bfe6b
Version VDF:6.32.00.35

 Gnral Mthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.u@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.u
   •  TrendMicro: WORM_KIPIS.M
   •  Sophos: W32/Kipis-U
   •  Grisoft: I-Worm/Kipis.AC
   •  VirusBuster: I-Worm.Kipis.L
   •  Eset: Win32/Kipis.U
   •  Bitdefender: Win32.Kipis.U@mm


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\regedit.com
   • %SYSDIR%\Microsoft\iexplore.exe




Il essaie dexcuter le fichier suivant :

Nom de fichier: Noms des fichiers:
   • %SYSDIR%\NOTEPAD.EXE
Il excute le fichier avec les paramtres suivantes : %WINDIR%\win.ini

 Registre La cl de registre suivante est ajoute:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
   • "shell"="%SYSDIR%\Microsoft\iexplore.exe"



La cl de registre suivante est change:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\iexplore.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Access denied; Re: Love message; Re: 666; Re: I Gey; Re: FUCK YOU!;
      Re: Meeting of gays; Me email; Hotmail password; Re: Crack; Chat
      notify!; Your Dead!; The Cannabis; Re: New Exploit for Windows XP; Re:
      Exploit for Outlook Express 6.0; Love you!; Treffpunkt; Re: Meine
      Daten; Ich liebe dich; Re: Mit dem Geburtstag; Re: Die Begegnung geev;
      Den Vertrag; Re: La Rencontre CHata; Re: rencontre a 15:30; Re: Mes
      donnees; Re: Je t'aime; Avec l'anniversaire; Re: La rencontre des
      gays; Re: El encuentro Chata; Re: Encuentro en 15:30; Re: Mi dados;
      Re: te amo; Con el dia del nacimiento; Re: el Encuentro de los gays



Corps:
Le corps de l'email est une des lignes:
   • All right..
   • Thank you..!
   • Agreed...
   • I will come well.
   • Successes..
   • Congrulate..!
   • Danke..
   • Haben sich vereinbart..
   • Gut werde ich.
   • des Erfolges..
   • Danke erreichen.
   • Merci..
   • Bien..
   • Ont convenu..
   • Est d'accord.
   • Je viens bien...
   • De la chance, merci.
   • Gracias Han acordado..
   • esta bien..
   • vendre Bien.
   • los Aciertos..
   • Gracias!


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • Contracto
   • Dados
   • das Dokument
   • data
   • Daten
   • Den Text
   • des Einzelteil
   • die Mitteilung
   • Documento
   • Donnees
   • el Detalle
   • el mensaje
   • El texto
   • info
   • Information
   • la Info
   • le Document
   • le message
   • Le texte
   • Les details
   • Like
   • misk
   • Note
   • postmaster
   • price
   • readme
   • text

Continu par un des suivants:
   • ..
   • .+
   • _.
   • +.sCR+

    L'extension du fichier est une des suivantes:
   • sCR
   • scR
   • ScR

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .txt; .adb; .doc; .dhtm; .php; .msg; .dbx; .tbb; .shtm; .uin;
      .xls; .eml; .pab; .htm


La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • kevin
   • adam
   • linda
   • anna
   • alex
   • david
   • mary
   • maria
   • brenda
   • rosa

Il combine le rsultat avec les domaines trouvs dans les fichiers qui ont t prcdemment recherchs pour des adresses.


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • .@microsof; rating@; f-secur; news@; update@; rar@; newvir; anyone@;
      bugs@; contract@; sales@; help@; info@; nobody@; noone@; @kasper;
      admin@; support@; antivir; bsd; listserv; @sopho; @foo; @iana;
      free-av; @messagelab; winzip; google; winrar; abuse@; @panda; @mcafee;
      pgp; @avp.; noreply; root@; postmaster@; @mydomai; podpiska@; mailer-;
      webmaster@; register@; @borlan; @nodomai; @virusli; virus@; @symante;
      @nod3; @bitdefen; @klamav; @drweb; @norman; @fido; @usenet; @ietf;
      @rfc-ed; technical@; suporte@; mozzila; you@; site@; contact@; soft@;
      privacy@; accoun; @license; @somedomai; service@; the.bat; page@;
      spm111@; notice@


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • @smtp.
   • mx.
   • mx1.
   • mail.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


   Il cherche les rpertoires qui contient une des sous chane de caractres suivantes:
   • share
   • microsof

   En cas de succs, les fichiers suivants sont crs:
   • Land Attack(source and files).exe
   • DDoS bot(src)..scr
   • Forum Hack.txt.scr
   • Winamp 6(plugins).exe
   • Crack collection.scr
   • NLP.scr
   • Hack Unix Server(info).scr
   • Screensaver for Hackers.scr
   • Windows 2000(source code).scr
   • Hack Chat.exe
   • Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe

   Ces fichiers sont copies du Malware.

 Arrt de processus: Les processus avec une des chanes de caractres suivantes sont termins:
   • anvir; apv; avc; aveng; avg; avk; avp; avw; avx; blackd; blacki; blss;
      cfi; clean; defwat; drweb; egedit.ex; ewall; fsa; fsm; guard; hijack;
      hxde; ilemon; kerio; klagent; klamav; luacomserv; minilog.; monitor;
      mooli; mosta; mpf; nav; neomon; netarm; netspy; nisse; nisum; nod3;
      nod3; norman; normis; norton; outpos; pav; pavsrv; pcc; protect;
      proxy.; rav; rfw; spider; svc.; syman; taskmgr; tmon; trojan; updat;
      upgrad; virus; vsmon; zapro.; zonalm; zonea


 Porte drobe Le port suivant est ouvert:

%le dossier d'excution du malware%\%le fichier excut% sur le port TCP 137 afin de fournir de capacits de porte drobe

 Informations divers Mutex:
Il cre le Mutex suivant:
   • [+] -- KiPiSH -- [+]

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • FSG

Description insérée par Irina Boldea le mardi 12 septembre 2006
Description mise à jour par Irina Boldea le mardi 12 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.