VírusWorm/Kebede.K
Data em que surgiu:14/04/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:43.521 Bytes
MD5 checksum:6e4c8509f235b08df0977943cf627df1
Versão VDF:6.34.00.185

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Email-Worm.Win32.Kebede.k
   •  TrendMicro: WORM_KEBEDE.E
   •  Bitdefender: Win32.Kebede.K@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\updtscheduler.exe



Elimina os seguintes ficheiros:
   • %WINDIR%\srchasst\mui\0409\lcladvdf.xml
   • %WINDIR%\srchasst\mui\0409\balloon.xsl
   • %WINDIR%\srchasst\mui\0409\bar.xsl



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %directório de execução do malware%\%ficheiro
      executado%.txt




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.geocitites.com/kbdbugchk/dwnld/**********
Encontra-se no disco rígido: %TEMPDIR%\file.exe Além disso executa-se depois do download estar completo. Há uma nova versão do próprio malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Run = %SYSDIR%\updtscheduler.exe



Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • *Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • *Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Scheduler = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Checker = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Monitor = %SYSDIR%\updtscheduler.exe
   • Microsoft Windows Software Update Initializer = %SYSDIR%\updtscheduler.exe

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
O remetente do e-mail é um dos seguintes:
   • hostmaster@%domínio do destinatário%
   • administrator@%domínio do destinatário%
   • webmaster@%domínio do destinatário%
   • postmaster@%domínio do destinatário%


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços recolhidos contactando motores de pesquisa
– O seguinte endereço de e-mail :
   • kdgbugchk@yahoo.com


Assunto:
Um dos seguintes:
   • **MAIL ERROR**
   • Delivery Status Notification(failure)
   • Internal Mail Server Error
   • Mail Error: Server unavailable

O corpo do email é um dos seguintes:

   • Unexpected error occured while delivering your message. See the transcript.

   • Unhandled error occured. See log file in the attachment.

   • Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available.

   • Error: Server not responding. See the attached printable document.

   • %endereço de e-mail do destinatário% mail session 220334 http://www.%domínio do destinatário%/sessionid.cgi?okssid23234=r has expiered. Your status is attached.


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

   • report.doc
   • log.txt
   • error.doc
   • partial_body
   • status.txt
   • % nome de utilizador do endereço de e-mail do destinatário%_details

Por vezes continuado por um dos seguintes:
   • %espaços vazios%

    A extensão do ficheiro é uma das seguintes:
   • .scr
   • .pif
   • .cmd
   • .com
   • .bat
   • .zip



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • htm; dbx; wab; txt; eml; doc; css; rtf; js; php; asp; cgi; xhtm; vcf;
      xml; nws; msg; stml; inbox; oftw; phtm; xsl; dhtm; shtm; pab


Motor de pesquisa
De forma a recolher mais endereços de e-mail contacta o seguinte motor de pesquisa:
   • email.people.yahoo.com



Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • sopho; unix; @google; spm; @syman; norto; example; rating@; .gov;
      submit; kasper; abuse; domain.; spam; @mm; announce; @from; kernel.;
      sql.; zone; privacy; support; your; master@; you@; mozilla; linux;
      detect; bitdefender; mcafee; www; anyone; anywhere; somebody; someone;
      subscri; freeav; drweb; registe; report; name@; admin; spybot; nobody;
      help; secur; service; gmail.; sun.; info@; java.; smtp; sales@; foo.;
      feedback; @nai; noreply; receiver@; messagelab; virus; winzip; msdn.;
      winrar; accoun; borlan; contact; soft.; comment; pandasof;
      mailer-daem; sender@; remail; user@; password; @avp; me@; .mil;
      @trend; bugs; berkeley.; no-reply; spyware; resear; scan; news; wab;
      online; @ca.; update; esafe; commandc; cai.; ikaru; irisav;
      networkass; @drsolom; norman; @novast; rg-av.; thunderbyte.; mit.ed;
      office@; upgrade; sarc.; aol.


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • mx.
   • mx1.
   • mail.
   • smtp.
   • mx1.mail.
   • ns.
   • relay.
   • gate.
   • inbound.
   • public.

 Terminar o processo  Desactiva processos em execução com um dos seguintes textos no nome do ficheiro:
   • taskmgr.exe
   • regedit.exe
   • tasklist.exe
   • taskkill.exe
   • tskill.exe

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • [_-ANTI_-_ANTI_-_VIRUS-_]


Texto:
Além disso tem o seguinte texto:
   • New author of Kebede!! I took over the whole thing. And we will see you Sober

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em segunda-feira, 17 de abril de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 18 de abril de 2006

Voltar . . . .