Nom:Worm/Kipis.U
La date de la découverte:21/09/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:7.856 Octets
Somme de contrôle MD5:3030c85b4a6135a1d35bd9ab2d1bfe6b
Version VDF:6.32.00.35

 Général Méthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.u@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.u
   •  TrendMicro: WORM_KIPIS.M
   •  Sophos: W32/Kipis-U
   •  Grisoft: I-Worm/Kipis.AC
   •  VirusBuster: I-Worm.Kipis.L
   •  Eset: Win32/Kipis.U
   •  Bitdefender: Win32.Kipis.U@mm


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\regedit.com
   • %SYSDIR%\Microsoft\iexplore.exe




Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\NOTEPAD.EXE
Il exécute le fichier avec les paramètres suivantes : %WINDIR%\win.ini

 Registre La clé de registre suivante est ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
   • "shell"="%SYSDIR%\Microsoft\iexplore.exe"



La clé de registre suivante est changée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\iexplore.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Access denied; Re: Love message; Re: 666; Re: I Gey; Re: FUCK YOU!;
      Re: Meeting of gays; Me email; Hotmail password; Re: Crack; Chat
      notify!; Your Dead!; The Cannabis; Re: New Exploit for Windows XP; Re:
      Exploit for Outlook Express 6.0; Love you!; Treffpunkt; Re: Meine
      Daten; Ich liebe dich; Re: Mit dem Geburtstag; Re: Die Begegnung geev;
      Den Vertrag; Re: La Rencontre CHata; Re: rencontre a 15:30; Re: Mes
      donnees; Re: Je t'aime; Avec l'anniversaire; Re: La rencontre des
      gays; Re: El encuentro Chata; Re: Encuentro en 15:30; Re: Mi dados;
      Re: te amo; Con el dia del nacimiento; Re: el Encuentro de los gays



Corps:
Le corps de l'email est une des lignes:
   • All right..
   • Thank you..!
   • Agreed...
   • I will come well.
   • Successes..
   • Congrulate..!
   • Danke..
   • Haben sich vereinbart..
   • Gut werde ich.
   • des Erfolges..
   • Danke erreichen.
   • Merci..
   • Bien..
   • Ont convenu..
   • Est d'accord.
   • Je viens bien...
   • De la chance, merci.
   • Gracias Han acordado..
   • esta bien..
   • vendre Bien.
   • los Aciertos..
   • Gracias!


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • Contracto
   • Dados
   • das Dokument
   • data
   • Daten
   • Den Text
   • des Einzelteil
   • die Mitteilung
   • Documento
   • Donnees
   • el Detalle
   • el mensaje
   • El texto
   • info
   • Information
   • la Info
   • le Document
   • le message
   • Le texte
   • Les details
   • Like
   • misk
   • Note
   • postmaster
   • price
   • readme
   • text

Continué par un des suivants:
   • ..
   • .+
   • _.
   • +.sCR+

    L'extension du fichier est une des suivantes:
   • sCR
   • scR
   • ScR

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .txt; .adb; .doc; .dhtm; .php; .msg; .dbx; .tbb; .shtm; .uin;
      .xls; .eml; .pab; .htm


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • kevin
   • adam
   • linda
   • anna
   • alex
   • david
   • mary
   • maria
   • brenda
   • rosa

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • .@microsof; rating@; f-secur; news@; update@; rar@; newvir; anyone@;
      bugs@; contract@; sales@; help@; info@; nobody@; noone@; @kasper;
      admin@; support@; antivir; bsd; listserv; @sopho; @foo; @iana;
      free-av; @messagelab; winzip; google; winrar; abuse@; @panda; @mcafee;
      pgp; @avp.; noreply; root@; postmaster@; @mydomai; podpiska@; mailer-;
      webmaster@; register@; @borlan; @nodomai; @virusli; virus@; @symante;
      @nod3; @bitdefen; @klamav; @drweb; @norman; @fido; @usenet; @ietf;
      @rfc-ed; technical@; suporte@; mozzila; you@; site@; contact@; soft@;
      privacy@; accoun; @license; @somedomai; service@; the.bat; page@;
      spm111@; notice@


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • @smtp.
   • mx.
   • mx1.
   • mail.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • share
   • microsof

   En cas de succès, les fichiers suivants sont créés:
   • Land Attack(source and files).exe
   • DDoS bot(src)..scr
   • Forum Hack.txt.scr
   • Winamp 6(plugins).exe
   • Crack collection.scr
   • NLP.scr
   • Hack Unix Server(info).scr
   • Screensaver for Hackers.scr
   • Windows 2000(source code).scr
   • Hack Chat.exe
   • Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe

   Ces fichiers sont copies du Malware.

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • anvir; apv; avc; aveng; avg; avk; avp; avw; avx; blackd; blacki; blss;
      cfi; clean; defwat; drweb; egedit.ex; ewall; fsa; fsm; guard; hijack;
      hxde; ilemon; kerio; klagent; klamav; luacomserv; minilog.; monitor;
      mooli; mosta; mpf; nav; neomon; netarm; netspy; nisse; nisum; nod3;
      nod3; norman; normis; norton; outpos; pav; pavsrv; pcc; protect;
      proxy.; rav; rfw; spider; svc.; syman; taskmgr; tmon; trojan; updat;
      upgrad; virus; vsmon; zapro.; zonalm; zonea


 Porte dérobée Le port suivant est ouvert:

%le dossier d'exécution du malware%\%le fichier exécuté% sur le port TCP 137 afin de fournir de capacités de porte dérobée

 Informations divers Mutex:
Il crée le Mutex suivant:
   • [+] -- KiPiSH -- [+]

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Irina Boldea le mardi 12 septembre 2006
Description mise à jour par Irina Boldea le mardi 12 septembre 2006

Retour . . . .