Nome del virus:Worm/Kebede.K
Scoperto:14/04/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:43.521 Byte
Somma di controllo MD5:6e4c8509f235b08df0977943cf627df1
Versione VDF:6.34.00.185

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Kebede.k
   •  TrendMicro: WORM_KEBEDE.E
   •  Bitdefender: Win32.Kebede.K@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %SYSDIR%\updtscheduler.exe



Cancella i seguenti file:
   • %WINDIR%\srchasst\mui\0409\lcladvdf.xml
   • %WINDIR%\srchasst\mui\0409\balloon.xsl
   • %WINDIR%\srchasst\mui\0409\bar.xsl



Viene creato il seguente file:

– File “non maligno”:
   • %directory di esecuzione del malware%\%file eseguiti%.txt




Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.geocitites.com/kbdbugchk/dwnld/**********
Viene salvato in locale sotto: %TEMPDIR%\file.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi era una versione aggiornata del malware stesso.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Run = %SYSDIR%\updtscheduler.exe



Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • *Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Il mittente dell'email è uno dei seguenti:
   • hostmaster@%dominio del destinatario%
   • administrator@%dominio del destinatario%
   • webmaster@%dominio del destinatario%
   • postmaster@%dominio del destinatario%


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi recuperati contattando i motori di ricerca
– Il seguente indirizzo email:
   • kdgbugchk@yahoo.com


Oggetto:
Uno dei seguenti:
   • **MAIL ERROR**
   • Delivery Status Notification(failure)
   • Internal Mail Server Error
   • Mail Error: Server unavailable

Il corpo dell’email è come uno dei seguenti:

   • Unexpected error occured while delivering your message. See the transcript.

   • Unhandled error occured. See log file in the attachment.

   • Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available.

   • Error: Server not responding. See the attached printable document.

   • %indirizzo email del ricevente% mail session 220334 http://www.%dominio del destinatario%/sessionid.cgi?okssid23234=r has expiered. Your status is attached.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

   • report.doc
   • log.txt
   • error.doc
   • partial_body
   • status.txt
   • %nome utente dall'indirizzo email del ricevente%_details

A volte seguito da uno dei seguenti:
   • %spazi vuoti%

    L'estensione del file è una delle seguenti:
   • .scr
   • .pif
   • .cmd
   • .com
   • .bat
   • .zip



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • htm; dbx; wab; txt; eml; doc; css; rtf; js; php; asp; cgi; xhtm; vcf;
      xml; nws; msg; stml; inbox; oftw; phtm; xsl; dhtm; shtm; pab


Motore di ricerca:
Per raccogliere più indirizzi email, contatta il seguente motore di ricerca:
   • email.people.yahoo.com



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • sopho; unix; @google; spm; @syman; norto; example; rating@; .gov;
      submit; kasper; abuse; domain.; spam; @mm; announce; @from; kernel.;
      sql.; zone; privacy; support; your; master@; you@; mozilla; linux;
      detect; bitdefender; mcafee; www; anyone; anywhere; somebody; someone;
      subscri; freeav; drweb; registe; report; name@; admin; spybot; nobody;
      help; secur; service; gmail.; sun.; info@; java.; smtp; sales@; foo.;
      feedback; @nai; noreply; receiver@; messagelab; virus; winzip; msdn.;
      winrar; accoun; borlan; contact; soft.; comment; pandasof;
      mailer-daem; sender@; remail; user@; password; @avp; me@; .mil;
      @trend; bugs; berkeley.; no-reply; spyware; resear; scan; news; wab;
      online; @ca.; update; esafe; commandc; cai.; ikaru; irisav;
      networkass; @drsolom; norman; @novast; rg-av.; thunderbyte.; mit.ed;
      office@; upgrade; sarc.; aol.


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mx.
   • mx1.
   • mail.
   • smtp.
   • mx1.mail.
   • ns.
   • relay.
   • gate.
   • inbound.
   • public.

 Processi terminati  Non permette l'esecuzione di processi che contengono una delle seguenti stringhe nel nome file:
   • taskmgr.exe
   • regedit.exe
   • tasklist.exe
   • taskkill.exe
   • tskill.exe

 Varie Mutex:
Crea il seguente Mutex:
   • [_-ANTI_-_ANTI_-_VIRUS-_]


Stringa:
In più contiene la seguente stringa:
   • New author of Kebede!! I took over the whole thing. And we will see you Sober

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su lunedì 17 aprile 2006
Descrizione aggiornata da Andrei Gherman su martedì 18 aprile 2006

Indietro . . . .