Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Kidala.B
Data em que surgiu:22/04/2006
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Alto
Nvel de risco:Mdio
Ficheiro esttico:No
Tamanho:~130.000 Bytes
Verso VDF:6.34.00.216

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local
   • Peer to Peer


Alias:
   •  Kaspersky: Net-Worm.Win32.Kidala.b
   •  TrendMicro: WORM_MYTOB.QC, WORM_MYTOB.PR
   •  Bitdefender: Win32.Kindala.B@mm, Backdoor.SdBot.BBU


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Desactiva aplicaes de segurana
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Envia uma cpia de si mesmo usando um nome seguinte lista:
Para: %SYSDIR% Usando um dos nomes seguintes:
   • win24.exe
   • sysmon.exe




So acrescentadas vrias seces aos ficheiros.
– Para: *\*.rar Com os contedos seguintes:
   • %ficheiro executado%




Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %TEMPDIR%\tmp%nmero hexadecimal%.tmp

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • win24 = %SYSDIR%\win24.exe
   • win32 = %SYSDIR%\sysmon.exe



Os valores da seguinte chave Registo so eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • systems
   • sys32x



Altera as seguintes chaves de registo do Windows:

Desactiva a Firewall do Windows
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor anterior:
   • EnableFirewall = %definies do utilizador %
   Valor recente:
   • EnableFirewall = 0

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • DisableSR = %definies do utilizador %
   • DisableConfig = %definies do utilizador %
   Valor recente:
   • DisableSR = 1
   • DisableConfig = 1

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello

Nalguns casos o assunto pode no conter texto.
O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatrios.
O corpo do email tem uma das seguintes linhas:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.


Atalho:
Os nomes dos ficheiros de atalhos so construdos a partir dos seguintes:

–  Comea por um dos seguintes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %uma srie de caracteres aleatrios%

    A extenso do ficheiro uma das seguintes:
   • .bat
   • .cmd
   • .exe
   • .scr
   • .pif
   • .zip



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .wab
   • .adb
   • .tbb
   • .dbx
   • .asp
   • .php
   • .sht
   • .htm
   • .txt
   • %HOME%\Local Settings\Temporary Internet Files


Endereos gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina isto com domnios encontrados numa lista ou endereos encontrados em ficheiros no sistema.

Tem um dos seguintes domnios:
   • microsoft.com
   • msn.com
   • ayna.com
   • maktoob.com
   • usa.net
   • usa.com
   • yahoo.com
   • hotmail.com


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • .edu; abuse; www; fcnz; spm; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; feste; submit;
      not; help; service; privacy; somebody; soft; contact; site; rating;
      bugs; you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; mozilla; utgers.ed; tanford.e; pgp;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf;
      iana; usenet; fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e;
      bsd; math; unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


Procura o seguintes directrios:
   • %PROGRAM FILES%\eDonkey2000\incoming
   • %PROGRAM FILES%\LimeWire\Shared

   Obtm a pasta partilhada examinando as seguintes chaves de registo:
   • HKCU\Software\KAZAA\LocalContent\Dir0
   • HKCU\Software\Kazaa\Transfer\DlDir0
   • HKLM\SOFTWARE\iMesh\Client\DownloadsLocation
   • HKLM\SOFTWARE\Morpheus\Install_Dir
   • HKCU\SOFTWARE\WarezP2P\wp

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • nice_big_asshole_fuck_Jennifer_Lopez.bat;
      Madonna_the_most_sexiest_girl_in_the_world.bat;
      Britney_Spears_sucks_someones_dick.bat;
      Mariah_Carey_showering_in_bathroom.bat; Alcohol_120%%_patch.bat;
      Outlook_hotmail+_fix.bat; LimeWire_speed++.bat;
      DarkAngel_Lady_get_fucked_so_hardly.bat;
      Angilina_Jolie_Sucks_a_Dick.bat; JenniferLopez_Film_Sexy_Enough.bat;
      BritneySpears_SoSexy.bat; DAP7.4.x.x_crack.bat;
      NortonAV2006_Crack.bat; YahooMessenger_Loader.bat;
      MSN7.0UniversalPatch.bat; MSN7.0Loader.bat; KAV2006_Crack.bat;
      ZoneAlarmPro6.xx_Crack.bat; TaskCatcher.bat; Opera8.bat;
      notepad++.bat; lcc-win32_update.bat; RealPlayerv10.xx_crack.bat;
      nuke2006.bat; office_crack.bat; rootkitXP.bat; dcom_patch.bat;
      strip-girl-3.0.bat; activation_crack.bat; icq2006-final.bat;
      winamp6.bat; nice_big_asshole_fuck_Jennifer_Lopez.com;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.com;
      Mariah_Carey_showering_in_bathroom.com; Alcohol_120%%_patch.com;
      Outlook_hotmail+_fix.com; LimeWire_speed++.com;
      DarkAngel_Lady_get_fucked_so_hardly.com;
      Angilina_Jolie_Sucks_a_Dick.com; JenniferLopez_Film_Sexy_Enough.com;
      BritneySpears_SoSexy.com; DAP7.4.x.x_crack.com;
      NortonAV2006_Crack.com; YahooMessenger_Loader.com;
      MSN7.0UniversalPatch.com; MSN7.0Loader.com; KAV2006_Crack.com;
      ZoneAlarmPro6.xx_Crack.com; TaskCatcher.com; Opera8.com;
      notepad++.com; lcc-win32_update.com; RealPlayerv10.xx_crack.com;
      nuke2006.com; office_crack.com; rootkitXP.com; dcom_patch.com;
      strip-girl-3.0.com; activation_crack.com; icq2006-final.com;
      winamp6.com; nice_big_asshole_fuck_Jennifer_Lopez.exe;
      Madonna_the_most_sexiest_girl_in_the_world.exe;
      Britney_Spears_sucks_someones_dick.exe;
      Mariah_Carey_showering_in_bathroom.exe; Alcohol_120%%_patch.exe;
      Outlook_hotmail+_fix.exe; LimeWire_speed++.exe;
      DarkAngel_Lady_get_fucked_so_hardly.exe;
      Angilina_Jolie_Sucks_a_Dick.exe; JenniferLopez_Film_Sexy_Enough.exe;
      BritneySpears_SoSexy.exe; DAP7.4.x.x_crack.exe;
      NortonAV2006_Crack.exe; YahooMessenger_Loader.exe;
      MSN7.0UniversalPatch.exe; MSN7.0Loader.exe; KAV2006_Crack.exe;
      ZoneAlarmPro6.xx_Crack.exe; TaskCatcher.exe; Opera8.exe;
      notepad++.exe; lcc-win32_update.exe; RealPlayerv10.xx_crack.exe;
      nuke2006.exe; office_crack.exe; rootkitXP.exe; dcom_patch.exe;
      strip-girl-3.0.exe; activation_crack.exe; icq2006-final.exe;
      winamp6.exe; nice_big_asshole_fuck_Jennifer_Lopez.pif;
      Madonna_the_most_sexiest_girl_in_the_world.pif;
      Britney_Spears_sucks_someones_dick.pif;
      Mariah_Carey_showering_in_bathroom.pif; Alcohol_120%%_patch.pif;
      Outlook_hotmail+_fix.pif; LimeWire_speed++.pif;
      DarkAngel_Lady_get_fucked_so_hardly.pif;
      Angilina_Jolie_Sucks_a_Dick.pif; JenniferLopez_Film_Sexy_Enough.pif;
      BritneySpears_SoSexy.pif; DAP7.4.x.x_crack.pif;
      NortonAV2006_Crack.pif; YahooMessenger_Loader.pif;
      MSN7.0UniversalPatch.pif; MSN7.0Loader.pif; KAV2006_Crack.pif;
      ZoneAlarmPro6.xx_Crack.pif; TaskCatcher.pif; Opera8.pif;
      notepad++.pif; lcc-win32_update.pif; RealPlayerv10.xx_crack.pif;
      nuke2006.pif; office_crack.pif; rootkitXP.pif; dcom_patch.pif;
      strip-girl-3.0.pif; activation_crack.pif; icq2006-final.pif;
      winamp6.pif; nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.scr;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.scr; Alcohol_120%%_patch.scr;
      Outlook_hotmail+_fix.scr; LimeWire_speed++.scr;
      DarkAngel_Lady_get_fucked_so_hardly.scr;
      Angilina_Jolie_Sucks_a_Dick.scr; JenniferLopez_Film_Sexy_Enough.scr;
      BritneySpears_SoSexy.scr; DAP7.4.x.x_crack.scr;
      NortonAV2006_Crack.scr; YahooMessenger_Loader.scr;
      MSN7.0UniversalPatch.scr; MSN7.0Loader.scr; KAV2006_Crack.scr;
      ZoneAlarmPro6.xx_Crack.scr; TaskCatcher.scr; Opera8.scr;
      notepad++.scr; lcc-win32_update.scr; RealPlayerv10.xx_crack.scr;
      nuke2006.scr; office_crack.scr; rootkitXP.scr; dcom_patch.scr;
      strip-girl-3.0.scr; activation_crack.scr; icq2006-final.scr;
      winamp6.scr

   Os ficheiros so cpias do prprio malware.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia uma cpia de si prprio seguinte partilha de rede:
   • ipc$


Usa a seguinte informao de login para ganhar acesso mquina remota:

Uma lista de nomes de utilizador e palavras-chave:
   • User; Db2; Oracle; Dba; Database; Default; Guest; Wwwadmin; Teacher;
      Student; Computer; Root; Staff; Owner; Admin; Admins; Administrat;
      Administrateur; Administrador; Administrator; dba; wwwadmin; owner;
      computer; ownerstaff; staff; teacher; student; intranet; lan; main;
      winpass; blank; office; control; nokia; siemens; compaq; dell; cisco;
      ibm; oracle; orainstall; sqlpassoainstall; sql; db1234; db2; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; hello; hell; god; sex;
      slut; bitch; fuck; exchange; backup; technical; loginpass; login;
      mary; katie; kate; george; eric; chris; ian; neil; lee; brian; susan;
      sue; sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oemuser; oem; user; homeuser; home; accounting; accounts;
      internet; www; web; outlook; mail; qwerty; null; root; server; system;
      default; changeme; linux; unix; demo; none; guest; test; 2004; 2003;
      2002; 2001; 2000; 12345678910; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 10007; 000; pwd; pass; pass1234;
      passwd; password; password1; adm; admin; admins; administrat;
      administrateur; administrador; administrator



Exploit:
Faz uso dos seguintes Exploits:
 MS01-059 (Unchecked Buffer in Universal Plug and Play )
 MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 Bagle backdoor (port 2745)
 Kuang backdoor (port 17300)
 Mydoom backdoor (port 3127)
 NetDevil backdoor (port 903)
 Optix backdoor (port 3140)
 SubSeven backdoor (port 27347)
 Administrao remota DameWare (porta 6129)


Processo de infeco:
Cria um script TFTP ou FTP na mquina a atacada para permitir o download do malware da mquina atacante.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: soliderx.no-ip.**********
Canal #Virgin#


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Ligao ao canal IRC
    • Abandona canais IRC
     Inicia a rotina de propagao
     Actualiza-se a ele prprio

 Terminar o processo A seguinte lista de processos so terminados:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE


 Backdoor So abertas as seguintes portas:

win24.exe/sysmon.exe numa porta TCP 2001 Por forma a fornecer um servidor HTTP.
win24.exe/sysmon.exe numa porta TCP 16248 Por forma a fornecer um servidor FTP.

 Informaes diversas Mutex:


Cria um dos Mutexes seguinte:
   • MicroSystemFlooderIRCd7
   • MicroSystemFlooder7

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em terça-feira, 25 de abril de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 25 de abril de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.