Nome del virus:Worm/Kidala.G
Scoperto:04/08/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:72.856 Byte
Somma di controllo MD5:569eec9ad7abea95378c62e095693dcf
Versione VDF:6.35.01.46 - venerdì 4 agosto 2006
Versione IVDF:6.35.01.46 - venerdì 4 agosto 2006

 Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Peer to Peer


Alias:
   •  Kaspersky: Net-Worm.Win32.Kidala.g
   •  Eset: Win32/Mytob.UA worm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\VideoCall.exe



Delle sezioni vengono aggiunte ai seguenti file.
– A: *.rar Con i seguenti contenuti:
   • %file eseguiti%




Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %SYSDIR%\speeder.exe
   • %SYSDIR%\PCspeeder.exe
   • %SYSDIR%\syscom.exe
   • %SYSDIR%\uptodate.exe
   • %SYSDIR%\fixed.exe
   • %SYSDIR%\msl.exe
   • %SYSDIR%\autoupdate.exe
   • %SYSDIR%\sword.exe
   • %SYSDIR%\lcd.exe
   • %SYSDIR%\lsd.exe
   • %SYSDIR%\win24.exe
   • %SYSDIR%\windows24.exe
   • %SYSDIR%\0.exe
   • %SYSDIR%\sysmon.exe
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winload.exe
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Skype = %SYSDIR%\VideoCall.exe



I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ISPup
   • PCup
   • com+
   • fixed
   • uptodate
   • msl
   • black
   • windows
   • lcd
   • lsdsystem
   • win24
   • Windows34
   • Bigen
   • win32
   • sys32x
   • systems



Viene cambiata la seguente chiave di registro:

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valore precedente:
   • EnableFirewall = %impostazioni definite dell'utente%
   Nuovo valore:
   • EnableFirewall = 0

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • Hello
   • Hi
   • Test



Corpo dell'email:
–  In alcuni casi può essere vuoto.
–  In alcuni casi può contenere caratteri casuali.
Il corpo dell’email è come uno dei seguenti:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    L'estensione del file è una delle seguenti:
   • .bat
   • .cmd
   • .exe
   • .scr
   • .pif
   • .zip



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • microsoft.com
   • msn.com
   • ayna.com
   • maktoob.com
   • usa.net
   • usa.com
   • yahoo.com
   • hotmail.com


Generazione dell'indirizzo per il campo TO:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina questo con i domini della seguente lista o con gli indirizzi trovati nei file sul sistema

Il dominio è uno dei seguenti:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .edu; abuse; www; fcnz; spm; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; feste; submit;
      not; help; service; privacy; somebody; soft; contact; site; rating;
      bugs; you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; mozilla; utgers.ed; tanford.e; pgp;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf;
      iana; usenet; fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e;
      bsd; math; unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • %PROGRAM FILES%\eDonkey2000\incoming\
   • %PROGRAM FILES%\\LimeWire\Shared\

   Recupera le cartelle condivise interrogando le seguenti chiavi di registro:
   • HKLM\Software\Kazaa\LocalContent\DownloadDir
   • HKLM\SOFTWARE\Morpheus\Install_Dir
   • HKLM\SOFTWARE\iMesh\Client\DownloadsLocation
   • HKCU\SOFTWARE\WarezP2P\wp

Cerca tutte le directory condivise.

   Se riuscito, i seguenti file vengono creati:
   • Angilina_Jolie_Sucks_a_Dick; JenniferLopez_Film_Sexy_Enough;
      BritneySpears_SoSexy; DAP7.4.x.x_crack; NortonAV2006_Crack;
      Alcohol_120%%_patch; Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly; nuke2006; office_crack;
      rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; TaskCatcher; Opera8; notepad++;
      lcc-win32_update; RealPlayerv10.xx_crack; YahooMessenger_Loader;
      MSN7.0UniversalPatch; MSN7.0Loader; KAV2006_Crack;
      ZoneAlarmPro6.xx_Crack; nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; ACDSee 9.com; Matrix 3
      Revolution English Subtitles.scr; Adobe Photoshop 9 full.com; WinAmp 5
      Pro Keygen Crack Update.com; WinAmp 6 New!.com; XXX hardcore
      images.scr; Opera 8 New!.com; Windown Longhorn Beta Leak.pif; Ahead
      Nero 7.com; Windows Sourcecode update.doc.pif; Porno pics arhive,
      xxx.scr; Kaspersky Antivirus 5.0.com; KAV 5.0.com; Serials.txt.bat;
      Porno Screensaver.scr; Porno, sex, oral, anal cool, awesome!!.scr;
      Microsoft Office XP working Crack, Keygen.pif; Microsoft Windows XP,
      WinXP Crack, working Keygen.pif; Microsoft Office 2003 Crack,
      Working!.pif

   Questi file sono copie del malware stesso.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– VX05-006 (Remote Heap Overflow when using the VERITAS Backup Exec Admin Plus Pack Option)
– Bagle backdoor (port 2745)
– Mydoom backdoor (port 3127)
– Optix backdoor (port 3140)
– DameWare remote administration (port 6129)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script TFTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC – In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Eseguire un attacco DdoS


Diffusione:
– Crea un file chiamato script.ini per diffondere una copia di se stesso via IRC.

 Processi terminati Lista dei processi che vengono terminati:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Varie Mutex:
Crea il seguente Mutex:
   • HGFSMUTEX

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 4 agosto 2006
Descrizione aggiornata da Andrei Gherman su venerdì 4 agosto 2006

Indietro . . . .