Nome del virus:Worm/Kipis.U
Scoperto:21/09/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:7.856 Byte
Somma di controllo MD5:3030c85b4a6135a1d35bd9ab2d1bfe6b
Versione VDF:6.32.00.35

 Generale Metodi di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.u@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.u
   •  TrendMicro: WORM_KIPIS.M
   •  Sophos: W32/Kipis-U
   •  Grisoft: I-Worm/Kipis.AC
   •  VirusBuster: I-Worm.Kipis.L
   •  Eset: Win32/Kipis.U
   •  Bitdefender: Win32.Kipis.U@mm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\regedit.com
   • %SYSDIR%\Microsoft\iexplore.exe




Prova ad eseguire il seguente file:

– Nome del file:
   • %SYSDIR%\NOTEPAD.EXE
utilizzando i seguenti parametri: %WINDIR%\win.ini

 Registro Viene aggiunta la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
   • "shell"="%SYSDIR%\Microsoft\iexplore.exe"



Viene cambiata la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\iexplore.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • Access denied; Re: Love message; Re: 666; Re: I Gey; Re: FUCK YOU!;
      Re: Meeting of gays; Me email; Hotmail password; Re: Crack; Chat
      notify!; Your Dead!; The Cannabis; Re: New Exploit for Windows XP; Re:
      Exploit for Outlook Express 6.0; Love you!; Treffpunkt; Re: Meine
      Daten; Ich liebe dich; Re: Mit dem Geburtstag; Re: Die Begegnung geev;
      Den Vertrag; Re: La Rencontre CHata; Re: rencontre a 15:30; Re: Mes
      donnees; Re: Je t'aime; Avec l'anniversaire; Re: La rencontre des
      gays; Re: El encuentro Chata; Re: Encuentro en 15:30; Re: Mi dados;
      Re: te amo; Con el dia del nacimiento; Re: el Encuentro de los gays



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • All right..
   • Thank you..!
   • Agreed...
   • I will come well.
   • Successes..
   • Congrulate..!
   • Danke..
   • Haben sich vereinbart..
   • Gut werde ich.
   • des Erfolges..
   • Danke erreichen.
   • Merci..
   • Bien..
   • Ont convenu..
   • Est d'accord.
   • Je viens bien...
   • De la chance, merci.
   • Gracias Han acordado..
   • esta bien..
   • vendre Bien.
   • los Aciertos..
   • Gracias!


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • Contracto
   • Dados
   • das Dokument
   • data
   • Daten
   • Den Text
   • des Einzelteil
   • die Mitteilung
   • Documento
   • Donnees
   • el Detalle
   • el mensaje
   • El texto
   • info
   • Information
   • la Info
   • le Document
   • le message
   • Le texte
   • Les details
   • Like
   • misk
   • Note
   • postmaster
   • price
   • readme
   • text

Seguito da uno dei seguenti:
   • ..
   • .+
   • _.
   • +.sCR+

    L'estensione del file è una delle seguenti:
   • sCR
   • scR
   • ScR

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .wab; .txt; .adb; .doc; .dhtm; .php; .msg; .dbx; .tbb; .shtm; .uin;
      .xls; .eml; .pab; .htm


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • kevin
   • adam
   • linda
   • anna
   • alex
   • david
   • mary
   • maria
   • brenda
   • rosa

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .@microsof; rating@; f-secur; news@; update@; rar@; newvir; anyone@;
      bugs@; contract@; sales@; help@; info@; nobody@; noone@; @kasper;
      admin@; support@; antivir; bsd; listserv; @sopho; @foo; @iana;
      free-av; @messagelab; winzip; google; winrar; abuse@; @panda; @mcafee;
      pgp; @avp.; noreply; root@; postmaster@; @mydomai; podpiska@; mailer-;
      webmaster@; register@; @borlan; @nodomai; @virusli; virus@; @symante;
      @nod3; @bitdefen; @klamav; @drweb; @norman; @fido; @usenet; @ietf;
      @rfc-ed; technical@; suporte@; mozzila; you@; site@; contact@; soft@;
      privacy@; accoun; @license; @somedomai; service@; the.bat; page@;
      spm111@; notice@


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • @smtp.
   • mx.
   • mx1.
   • mail.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Cerca le directory che contengono una delle seguenti sottostringhe:
   • share
   • microsof

   Se riuscito, i seguenti file vengono creati:
   • Land Attack(source and files).exe
   • DDoS bot(src)..scr
   • Forum Hack.txt.scr
   • Winamp 6(plugins).exe
   • Crack collection.scr
   • NLP.scr
   • Hack Unix Server(info).scr
   • Screensaver for Hackers.scr
   • Windows 2000(source code).scr
   • Hack Chat.exe
   • Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe

   Questi file sono copie del malware stesso.

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • anvir; apv; avc; aveng; avg; avk; avp; avw; avx; blackd; blacki; blss;
      cfi; clean; defwat; drweb; egedit.ex; ewall; fsa; fsm; guard; hijack;
      hxde; ilemon; kerio; klagent; klamav; luacomserv; minilog.; monitor;
      mooli; mosta; mpf; nav; neomon; netarm; netspy; nisse; nisum; nod3;
      nod3; norman; normis; norton; outpos; pav; pavsrv; pcc; protect;
      proxy.; rav; rfw; spider; svc.; syman; taskmgr; tmon; trojan; updat;
      upgrad; virus; vsmon; zapro.; zonalm; zonea


 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%\%file eseguiti% sulla porta TCP 137 con lo scopo di procurarsi delle possibili backdoor.

 Varie Mutex:
Crea il seguente Mutex:
   • [+] -- KiPiSH -- [+]

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Irina Boldea su martedì 12 settembre 2006
Descrizione aggiornata da Irina Boldea su martedì 12 settembre 2006

Indietro . . . .