Descrizione completa

Nume:	Worm/Kidala.G
Descoperit pe data de:	04/08/2006
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Ridicat
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	72.856 Bytes
MD5:	569eec9ad7abea95378c62e095693dcf
Versiune VDF:	6.35.01.46 - venerdì 4 agosto 2006
Versiune IVDF:	6.35.01.46 - venerdì 4 agosto 2006

General Metode de raspandire:
   • Email
   • Reteaua locala
   • Peer to Peer

Alias:
   • Kaspersky: Net-Worm.Win32.Kidala.g
   • Eset: Win32/Mytob.UA worm

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Inchide aplicatiile de securitate
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\VideoCall.exe

Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: *.rar Cu urmatorul continut:
   • %fisier executat%

Sterge copia initiala a virusului.

Sterge urmatoarele fisiere:
   • %SYSDIR%\speeder.exe
   • %SYSDIR%\PCspeeder.exe
   • %SYSDIR%\syscom.exe
   • %SYSDIR%\uptodate.exe
   • %SYSDIR%\fixed.exe
   • %SYSDIR%\msl.exe
   • %SYSDIR%\autoupdate.exe
   • %SYSDIR%\sword.exe
   • %SYSDIR%\lcd.exe
   • %SYSDIR%\lsd.exe
   • %SYSDIR%\win24.exe
   • %SYSDIR%\windows24.exe
   • %SYSDIR%\0.exe
   • %SYSDIR%\sysmon.exe
   • %SYSDIR%\loadwin.exe
   • %SYSDIR%\winloader.exe
   • %SYSDIR%\winload.exe
   • %SYSDIR%\player.exe
   • %SYSDIR%\microsystem.exe
   • %SYSDIR%\viewer.exe

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Skype = %SYSDIR%\VideoCall.exe

Valorile urmatoarei chei sunt sterse din registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ISPup
   • PCup
   • com+
   • fixed
   • uptodate
   • msl
   • black
   • windows
   • lcd
   • lsdsystem
   • win24
   • Windows34
   • Bigen
   • win32
   • sys32x
   • systems

Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Vechea valoare:
   • EnableFirewall = %setarile utilizatorului%
   Noua valoare:
   • EnableFirewall = 0

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.

Catre:
– Adrese de email gasite pe sistem.
– Adrese generate

Subiect:
Unul din urmatoarele:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • Hello
   • Hi
   • Test

Corpul email-ului:
– Uneori corpul email-ului este gol.
– Uneori poate contine caractere aleatoare.
Corpul email-ului este unul din textele:
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

– Incepe cu unul din urmatoarele:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document

    Extensia fisierului este una din urmatoarele:
   • .bat
   • .cmd
   • .exe
   • .scr
   • .pif
   • .zip

Email-ul poate arata ca unul din urmatoarele:

Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt

Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • microsoft.com
   • msn.com
   • ayna.com
   • maktoob.com
   • usa.net
   • usa.com
   • yahoo.com
   • hotmail.com

Genereaza adrese pentru campul destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina rezultatul cu domeniile din urmatoarea lista sau cu domeniile gasite in fisierele de pe sistem.

Domeniul este unul din urmatoarele:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • .edu; abuse; www; fcnz; spm; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; feste; submit;
      not; help; service; privacy; somebody; soft; contact; site; rating;
      bugs; you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; mozilla; utgers.ed; tanford.e; pgp;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf;
      iana; usenet; fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e;
      bsd; math; unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp

Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:

– Cauta urmatoarele directoare:
   • %PROGRAM FILES%\eDonkey2000\incoming\
   • %PROGRAM FILES%\\LimeWire\Shared\

   Extrage fisierele partajate, folosind urmatoarele chei de registru:
   • HKLM\Software\Kazaa\LocalContent\DownloadDir
   • HKLM\SOFTWARE\Morpheus\Install_Dir
   • HKLM\SOFTWARE\iMesh\Client\DownloadsLocation
   • HKCU\SOFTWARE\WarezP2P\wp

Cauta toate directoarele partajate in retea.

   Daca reuseste, sunt create urmatoarele fisiere:
   • Angilina_Jolie_Sucks_a_Dick; JenniferLopez_Film_Sexy_Enough;
      BritneySpears_SoSexy; DAP7.4.x.x_crack; NortonAV2006_Crack;
      Alcohol_120%%_patch; Outlook_hotmail+_fix; LimeWire_speed++;
      DarkAngel_Lady_get_fucked_so_hardly; nuke2006; office_crack;
      rootkitXP; dcom_patch; strip-girl-3.0; activation_crack;
      icq2006-final; winamp6; TaskCatcher; Opera8; notepad++;
      lcc-win32_update; RealPlayerv10.xx_crack; YahooMessenger_Loader;
      MSN7.0UniversalPatch; MSN7.0Loader; KAV2006_Crack;
      ZoneAlarmPro6.xx_Crack; nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.com; ACDSee 9.com; Matrix 3
      Revolution English Subtitles.scr; Adobe Photoshop 9 full.com; WinAmp 5
      Pro Keygen Crack Update.com; WinAmp 6 New!.com; XXX hardcore
      images.scr; Opera 8 New!.com; Windown Longhorn Beta Leak.pif; Ahead
      Nero 7.com; Windows Sourcecode update.doc.pif; Porno pics arhive,
      xxx.scr; Kaspersky Antivirus 5.0.com; KAV 5.0.com; Serials.txt.bat;
      Porno Screensaver.scr; Porno, sex, oral, anal cool, awesome!!.scr;
      Microsoft Office XP working Crack, Keygen.pif; Microsoft Windows XP,
      WinXP Crack, working Keygen.pif; Microsoft Office 2003 Crack,
      Working!.pif

   Aceste fişiere sunt copii ale malware-ului.

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– VX05-006 (Remote Heap Overflow la folosirea VERITAS Backup Exec Admin Plus Pack Option)
– Bagle backdoor (port 2745)
– Mydoom backdoor (port 3127)
– Optix backdoor (port 3140)
– Administrare remote DameWare (port 6129)

Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.

Procesul de infectare:
Creeaza un script TFTP pe sistemul afectat, pentru a descarca un malware pe un computer controlat la distanta.

IRC – In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • executare atac DDoS

Raspandire:
– Creeaza un fisier numit script.ini pentru a raspandi copii ale sale prin IRC.

Terminarea proceselor Lista cu procesele oprite:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE

Alte informatii Mutex:
Creeaza urmatorul mutex:
• HGFSMUTEX

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Andrei Gherman su venerdì 4 agosto 2006
Descrizione aggiornata da Andrei Gherman su venerdì 4 agosto 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti