Nome del virus:Worm/Kipis.g
Scoperto:24/01/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:16.000 Byte
Somma di controllo MD5:095aac37b121cd3e36a2bba0ea8a26a7
Versione VDF:6.29.00.77

 Generale Metodi di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.d@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.g
   •  TrendMicro: WORM_KIPIS.C
   •  Sophos: W32/Kipis-G
   •  Grisoft: I-Worm/Kipis.F
   •  VirusBuster: I-Worm.Kipis.C
   •  Eset: Win32/Kipis.G
   •  Bitdefender: Win32.Kipis.G@mm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\regedit.com
   • %SYSDIR%\netstat.com
   • %SYSDIR%\Microsoft\svchost.exe

 Registro Viene cambiata la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\svchost.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • Hello
   • Hi
   • Letter
   • Love
   • message
   • Re: Hello
   • Re: Hi
   • Re: Letter
   • Re: Love
   • Re: message



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • With the coming Valentine's day. :)

   • What for you have send me this letter?
     I have read, i precisely do not know you.

   • What for you have send me this letter?

   • Greetings, you do not know me,
     me asked to send you this love letter.

   • Please look my Love letter..
     Bye.


File allegato:
Il nome del file allegato è uno dei seguenti:
   • letter.pif
   • message.pif
   • Love.pif
   • link.love you.php679807.pif
   • I-LOVE-YOU.pif

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • html; eml; xls; xml; uin; tbb; dbx; doc; htm; adb; txt


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; mary; bill; toma; linda; stan; mike; anna; adam; maria; rosa;
      stiv; liza; dana; alex

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • bitdefend; mailer; podpiska; accoun; listserv; newvir; antivir;
      support; admin; sales; news; info; site; webmaney; drweb; where;
      abuse; rating; the.bat; page; soft; register; notice; help; bugs;
      contact; service; kaspersky; nod32; privacy; webmaster; postmaster;
      rfc-; ripe.; sybari; anyone; mozilla; sendmail; pgp; secur; fido;
      google; .edu; mydomai; gov.; foo.; iruslis; norman; e-trust-; .hlp;
      .gov; nodomai; borlan; hotmail; f-prot; klamav; bitdefen; sopho;
      syman; software.; .mil; panda; msn.; icrosoft; avp


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mail.
   • mx1.
   • mx.
   • smtp.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Cerca le directory che contengono una delle seguenti sottostringhe:
   • upload
   • incomin
   • downloa
   • grokste
   • shar

   Se riuscito, i seguenti file vengono creati:
   • Porno arhive(sex,oral,anal,bdsm).scr
   • Winamp 6 full.exe
   • MS Office XP Crack.exe
   • Crack collection(6 892).exe
   • KAV 5.0x Keygen.exe
   • WinXP SP3 crack.exe
   • MyProxy 7.0x crack.exe


 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • filemon.; regmon.; nopdb.; escanhnt.; frw.; upw; rewall; guard.;
      ccapp.; blackd.; sphinx.; maniac.; bscan; protect; suchost.; safe;
      taumon; kerio; blackice; fiaudit.; upgrade; update; alarm; post;
      rising; winit.; symantec; gate; kav; mcafee; nav; luall.; rweb; duba;
      svchosl.; avmon


 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%\%file eseguiti% sulla porta TCP 7312 con lo scopo di procurarsi delle possibili backdoor.

 Varie Crea il seguente Mutex:
   • -= KiPiSh - GFxPRO - 0x1.0 =-

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Irina Boldea su lunedì 14 agosto 2006
Descrizione aggiornata da Irina Boldea su martedì 15 agosto 2006

Indietro . . . .