VírusWorm/Kipis.U
Data em que surgiu:21/09/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:7.856 Bytes
MD5 checksum:3030c85b4a6135a1d35bd9ab2d1bfe6b
Versão VDF:6.32.00.35

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.u@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.u
   •  TrendMicro: WORM_KIPIS.M
   •  Sophos: W32/Kipis-U
   •  Grisoft: I-Worm/Kipis.AC
   •  VirusBuster: I-Worm.Kipis.L
   •  Eset: Win32/Kipis.U
   •  Bitdefender: Win32.Kipis.U@mm


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\regedit.com
   • %SYSDIR%\Microsoft\iexplore.exe




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\NOTEPAD.EXE
Executa o ficheiro com um dos seguintes parâmetros: %WINDIR%\win.ini

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
   • "shell"="%SYSDIR%\Microsoft\iexplore.exe"



O seguinte valor do registo é alterado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\iexplore.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Access denied; Re: Love message; Re: 666; Re: I Gey; Re: FUCK YOU!;
      Re: Meeting of gays; Me email; Hotmail password; Re: Crack; Chat
      notify!; Your Dead!; The Cannabis; Re: New Exploit for Windows XP; Re:
      Exploit for Outlook Express 6.0; Love you!; Treffpunkt; Re: Meine
      Daten; Ich liebe dich; Re: Mit dem Geburtstag; Re: Die Begegnung geev;
      Den Vertrag; Re: La Rencontre CHata; Re: rencontre a 15:30; Re: Mes
      donnees; Re: Je t'aime; Avec l'anniversaire; Re: La rencontre des
      gays; Re: El encuentro Chata; Re: Encuentro en 15:30; Re: Mi dados;
      Re: te amo; Con el dia del nacimiento; Re: el Encuentro de los gays



Corpo:
O corpo do email tem uma das seguintes linhas:
   • All right..
   • Thank you..!
   • Agreed...
   • I will come well.
   • Successes..
   • Congrulate..!
   • Danke..
   • Haben sich vereinbart..
   • Gut werde ich.
   • des Erfolges..
   • Danke erreichen.
   • Merci..
   • Bien..
   • Ont convenu..
   • Est d'accord.
   • Je viens bien...
   • De la chance, merci.
   • Gracias Han acordado..
   • esta bien..
   • vendre Bien.
   • los Aciertos..
   • Gracias!


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • Contracto
   • Dados
   • das Dokument
   • data
   • Daten
   • Den Text
   • des Einzelteil
   • die Mitteilung
   • Documento
   • Donnees
   • el Detalle
   • el mensaje
   • El texto
   • info
   • Information
   • la Info
   • le Document
   • le message
   • Le texte
   • Les details
   • Like
   • misk
   • Note
   • postmaster
   • price
   • readme
   • text

Continuado por um dos seguintes:
   • ..
   • .+
   • _.
   • +.sCR+

    A extensão do ficheiro é uma das seguintes:
   • sCR
   • scR
   • ScR

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .wab; .txt; .adb; .doc; .dhtm; .php; .msg; .dbx; .tbb; .shtm; .uin;
      .xls; .eml; .pab; .htm


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • kevin
   • adam
   • linda
   • anna
   • alex
   • david
   • mary
   • maria
   • brenda
   • rosa

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • .@microsof; rating@; f-secur; news@; update@; rar@; newvir; anyone@;
      bugs@; contract@; sales@; help@; info@; nobody@; noone@; @kasper;
      admin@; support@; antivir; bsd; listserv; @sopho; @foo; @iana;
      free-av; @messagelab; winzip; google; winrar; abuse@; @panda; @mcafee;
      pgp; @avp.; noreply; root@; postmaster@; @mydomai; podpiska@; mailer-;
      webmaster@; register@; @borlan; @nodomai; @virusli; virus@; @symante;
      @nod3; @bitdefen; @klamav; @drweb; @norman; @fido; @usenet; @ietf;
      @rfc-ed; technical@; suporte@; mozzila; you@; site@; contact@; soft@;
      privacy@; accoun; @license; @somedomai; service@; the.bat; page@;
      spm111@; notice@


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • @smtp.
   • mx.
   • mx1.
   • mail.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


   Procura directórios com os seguintes textos:
   • share
   • microsof

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • Land Attack(source and files).exe
   • DDoS bot(src)..scr
   • Forum Hack.txt.scr
   • Winamp 6(plugins).exe
   • Crack collection.scr
   • NLP.scr
   • Hack Unix Server(info).scr
   • Screensaver for Hackers.scr
   • Windows 2000(source code).scr
   • Hack Chat.exe
   • Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe

   Os ficheiros são cópias do próprio malware.

 Terminar o processo São terminados os processos com um dos seguintes textos:
   • anvir; apv; avc; aveng; avg; avk; avp; avw; avx; blackd; blacki; blss;
      cfi; clean; defwat; drweb; egedit.ex; ewall; fsa; fsm; guard; hijack;
      hxde; ilemon; kerio; klagent; klamav; luacomserv; minilog.; monitor;
      mooli; mosta; mpf; nav; neomon; netarm; netspy; nisse; nisum; nod3;
      nod3; norman; normis; norton; outpos; pav; pavsrv; pcc; protect;
      proxy.; rav; rfw; spider; svc.; syman; taskmgr; tmon; trojan; updat;
      upgrad; virus; vsmon; zapro.; zonalm; zonea


 Backdoor É aberta a seguinte porta:

%directório de execução do malware%\%ficheiro executado% numa porta TCP 137 Por forma a fornecer capacidades backdoor.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • [+] -- KiPiSH -- [+]

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Irina Boldea em terça-feira, 12 de setembro de 2006
Descrição atualizada por Irina Boldea em terça-feira, 12 de setembro de 2006

Voltar . . . .