Полное описание

Имя:	Worm/Kidala.B
Обнаружен:	22/04/2006
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Высокий
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	~130.000 байт.
Версия VDF:	6.34.00.216

Общее Методы распространения:
   • Email
   • Локальная сеть
   • Одноранговая сеть

Псевдонимы (аliases):
   • Kaspersky: Net-Worm.Win32.Kidala.b
   • TrendMicro: WORM_MYTOB.QC, WORM_MYTOB.PR
   • Bitdefender: Win32.Kindala.B@mm, Backdoor.SdBot.BBU

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создает собственную копию с именем файла из списка
– Кому: %SYSDIR% С одним из следующих имен:
   • win24.exe
   • sysmon.exe

Разделы добавляются в файлы.
– Кому: *\*.rar Со следующим содержимым:
   • %выполненный файл%

Выполненная копия программы удаляется.

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\tmp%Шестнадцатиричное число%.tmp

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • win24 = %SYSDIR%\win24.exe
   • win32 = %SYSDIR%\sysmon.exe

Удаляются значения следующего ключа реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • systems
   • sys32x

Изменяются следующие ключи реестра:

Отключение Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Прежнее значение:
   • EnableFirewall = %Настройки пользователя%
   Новое значение:
   • EnableFirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Прежнее значение:
   • DisableSR = %Настройки пользователя%
   • DisableConfig = %Настройки пользователя%
   Новое значение:
   • DisableSR = 1
   • DisableConfig = 1

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты

Тема:
Одно из следующих:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello

Тема письма иногда может оставаться пустой.
Тема письма может содержать случайные знаки.

Тело:
– В некоторых случаях может быть пустой.
– В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • test
   • Mail transaction failed. Partial message is available.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
   • The message contains Unicode characters and has been sent as a binary attachment.

Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

– Начинается одним из следующих:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %случайная буквенная комбинация%

    Одно из следующих расширений файла:
   • .bat
   • .cmd
   • .exe
   • .scr
   • .pif
   • .zip

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .wab
   • .adb
   • .tbb
   • .dbx
   • .asp
   • .php
   • .sht
   • .htm
   • .txt
   • %HOME%\Local Settings\Temporary Internet Files

Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Комбинируется с доменным именем из следующего списка или с обнаруженными в файлах адресами

Одно из следующих доменных имен:
   • microsoft.com
   • msn.com
   • ayna.com
   • maktoob.com
   • usa.net
   • usa.com
   • yahoo.com
   • hotmail.com

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • .edu; abuse; www; fcnz; spm; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; feste; submit;
      not; help; service; privacy; somebody; soft; contact; site; rating;
      bugs; you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; mozilla; utgers.ed; tanford.e; pgp;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; ietf;
      iana; usenet; fido; linux; kernel; google; ibm.com; fsf.; gnu; mit.e;
      bsd; math; unix; berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp

Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск следующих папок:
   • %PROGRAM FILES%\eDonkey2000\incoming
   • %PROGRAM FILES%\LimeWire\Shared

   Для определения стандартных папок для загрузки происходит обращение к реестру:
   • HKCU\Software\KAZAA\LocalContent\Dir0
   • HKCU\Software\Kazaa\Transfer\DlDir0
   • HKLM\SOFTWARE\iMesh\Client\DownloadsLocation
   • HKLM\SOFTWARE\Morpheus\Install_Dir
   • HKCU\SOFTWARE\WarezP2P\wp

   При успешном завершении поиска создаются следующие файлы:
   • nice_big_asshole_fuck_Jennifer_Lopez.bat;
      Madonna_the_most_sexiest_girl_in_the_world.bat;
      Britney_Spears_sucks_someones_dick.bat;
      Mariah_Carey_showering_in_bathroom.bat; Alcohol_120%%_patch.bat;
      Outlook_hotmail+_fix.bat; LimeWire_speed++.bat;
      DarkAngel_Lady_get_fucked_so_hardly.bat;
      Angilina_Jolie_Sucks_a_Dick.bat; JenniferLopez_Film_Sexy_Enough.bat;
      BritneySpears_SoSexy.bat; DAP7.4.x.x_crack.bat;
      NortonAV2006_Crack.bat; YahooMessenger_Loader.bat;
      MSN7.0UniversalPatch.bat; MSN7.0Loader.bat; KAV2006_Crack.bat;
      ZoneAlarmPro6.xx_Crack.bat; TaskCatcher.bat; Opera8.bat;
      notepad++.bat; lcc-win32_update.bat; RealPlayerv10.xx_crack.bat;
      nuke2006.bat; office_crack.bat; rootkitXP.bat; dcom_patch.bat;
      strip-girl-3.0.bat; activation_crack.bat; icq2006-final.bat;
      winamp6.bat; nice_big_asshole_fuck_Jennifer_Lopez.com;
      Madonna_the_most_sexiest_girl_in_the_world.com;
      Britney_Spears_sucks_someones_dick.com;
      Mariah_Carey_showering_in_bathroom.com; Alcohol_120%%_patch.com;
      Outlook_hotmail+_fix.com; LimeWire_speed++.com;
      DarkAngel_Lady_get_fucked_so_hardly.com;
      Angilina_Jolie_Sucks_a_Dick.com; JenniferLopez_Film_Sexy_Enough.com;
      BritneySpears_SoSexy.com; DAP7.4.x.x_crack.com;
      NortonAV2006_Crack.com; YahooMessenger_Loader.com;
      MSN7.0UniversalPatch.com; MSN7.0Loader.com; KAV2006_Crack.com;
      ZoneAlarmPro6.xx_Crack.com; TaskCatcher.com; Opera8.com;
      notepad++.com; lcc-win32_update.com; RealPlayerv10.xx_crack.com;
      nuke2006.com; office_crack.com; rootkitXP.com; dcom_patch.com;
      strip-girl-3.0.com; activation_crack.com; icq2006-final.com;
      winamp6.com; nice_big_asshole_fuck_Jennifer_Lopez.exe;
      Madonna_the_most_sexiest_girl_in_the_world.exe;
      Britney_Spears_sucks_someones_dick.exe;
      Mariah_Carey_showering_in_bathroom.exe; Alcohol_120%%_patch.exe;
      Outlook_hotmail+_fix.exe; LimeWire_speed++.exe;
      DarkAngel_Lady_get_fucked_so_hardly.exe;
      Angilina_Jolie_Sucks_a_Dick.exe; JenniferLopez_Film_Sexy_Enough.exe;
      BritneySpears_SoSexy.exe; DAP7.4.x.x_crack.exe;
      NortonAV2006_Crack.exe; YahooMessenger_Loader.exe;
      MSN7.0UniversalPatch.exe; MSN7.0Loader.exe; KAV2006_Crack.exe;
      ZoneAlarmPro6.xx_Crack.exe; TaskCatcher.exe; Opera8.exe;
      notepad++.exe; lcc-win32_update.exe; RealPlayerv10.xx_crack.exe;
      nuke2006.exe; office_crack.exe; rootkitXP.exe; dcom_patch.exe;
      strip-girl-3.0.exe; activation_crack.exe; icq2006-final.exe;
      winamp6.exe; nice_big_asshole_fuck_Jennifer_Lopez.pif;
      Madonna_the_most_sexiest_girl_in_the_world.pif;
      Britney_Spears_sucks_someones_dick.pif;
      Mariah_Carey_showering_in_bathroom.pif; Alcohol_120%%_patch.pif;
      Outlook_hotmail+_fix.pif; LimeWire_speed++.pif;
      DarkAngel_Lady_get_fucked_so_hardly.pif;
      Angilina_Jolie_Sucks_a_Dick.pif; JenniferLopez_Film_Sexy_Enough.pif;
      BritneySpears_SoSexy.pif; DAP7.4.x.x_crack.pif;
      NortonAV2006_Crack.pif; YahooMessenger_Loader.pif;
      MSN7.0UniversalPatch.pif; MSN7.0Loader.pif; KAV2006_Crack.pif;
      ZoneAlarmPro6.xx_Crack.pif; TaskCatcher.pif; Opera8.pif;
      notepad++.pif; lcc-win32_update.pif; RealPlayerv10.xx_crack.pif;
      nuke2006.pif; office_crack.pif; rootkitXP.pif; dcom_patch.pif;
      strip-girl-3.0.pif; activation_crack.pif; icq2006-final.pif;
      winamp6.pif; nice_big_asshole_fuck_Jennifer_Lopez.scr;
      Madonna_the_most_sexiest_girl_in_the_world.scr;
      Britney_Spears_sucks_someones_dick.scr;
      Mariah_Carey_showering_in_bathroom.scr; Alcohol_120%%_patch.scr;
      Outlook_hotmail+_fix.scr; LimeWire_speed++.scr;
      DarkAngel_Lady_get_fucked_so_hardly.scr;
      Angilina_Jolie_Sucks_a_Dick.scr; JenniferLopez_Film_Sexy_Enough.scr;
      BritneySpears_SoSexy.scr; DAP7.4.x.x_crack.scr;
      NortonAV2006_Crack.scr; YahooMessenger_Loader.scr;
      MSN7.0UniversalPatch.scr; MSN7.0Loader.scr; KAV2006_Crack.scr;
      ZoneAlarmPro6.xx_Crack.scr; TaskCatcher.scr; Opera8.scr;
      notepad++.scr; lcc-win32_update.scr; RealPlayerv10.xx_crack.scr;
      nuke2006.scr; office_crack.scr; rootkitXP.scr; dcom_patch.scr;
      strip-girl-3.0.scr; activation_crack.scr; icq2006-final.scr;
      winamp6.scr

   Файлы являются копиями потенциально опасной программы

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • ipc$

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Список имен пользователей и паролей:
   • User; Db2; Oracle; Dba; Database; Default; Guest; Wwwadmin; Teacher;
      Student; Computer; Root; Staff; Owner; Admin; Admins; Administrat;
      Administrateur; Administrador; Administrator; dba; wwwadmin; owner;
      computer; ownerstaff; staff; teacher; student; intranet; lan; main;
      winpass; blank; office; control; nokia; siemens; compaq; dell; cisco;
      ibm; oracle; orainstall; sqlpassoainstall; sql; db1234; db2; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; hello; hell; god; sex;
      slut; bitch; fuck; exchange; backup; technical; loginpass; login;
      mary; katie; kate; george; eric; chris; ian; neil; lee; brian; susan;
      sue; sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oemuser; oem; user; homeuser; home; accounting; accounts;
      internet; www; web; outlook; mail; qwerty; null; root; server; system;
      default; changeme; linux; unix; demo; none; guest; test; 2004; 2003;
      2002; 2001; 2000; 12345678910; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 10007; 000; pwd; pass; pass1234;
      passwd; password; password1; adm; admin; admins; administrat;
      administrateur; administrador; administrator

Эксплойт:
Используются следующие бреши в безопасности:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (патч для IIS)
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-007 (непроверенный буфер в компоненте Windows)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)
– MS05-039 (уязвимость в Plug and Play)
– Утилита удаленного администрирования Bagle (порт 2745)
– Утилита удаленного администрирования Kuang (порт 17300)
– Утилита удаленного администрирования Mydoom (порт 3127)
– Утилита удаленного администрирования NetDevil (порт 903)
– Утилита удаленного администрирования Optix (порт 3140)
– Утилита удаленного администрирования SubSeven (порт 27347)
– Программа удаленного администрирования DameWare. (Порт 6129)

Процесс инфицирования:
На выбранном компьютере создается TFTP или FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: soliderx.no-ip.**********
Канал: #Virgin#

– Вредоносная программа обладает способностью выполнять следующие действия:
    • Запускается DDoS UDP атака
    • Загрузить файл
    • Запустить файл
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Запуск процедуры распространения
    • Обновляется самостоятельно

Завершение процесса Список завершаемых процессов:
   • AVPCC.EXE; AVKSERV.EXE; ECENGINE.EXE; FP-WIN.EXE; VETTRAY.EXE;
      ACKWIN32.EXE; AVNT.EXE; ESAFE.EXE; FPROT.EXE; F-PROT95.EXE;
      IOMON98.EXE; AVWIN95.EXE; AVE32.EXE; ANTI-TROJAN.EXE; _AVPCC.EXE;
      APVXDWIN.EXE; CLAW95CF.EXE; _FINDVIRU.EXE; FINDVIRU.EXE; NAVNT.EXE;
      VET95.EXE; SCAN32.EXE; RAV7.EXE; NAVAPW32.EXE; VSMAIN.EXE;
      GUARDDOG.EXE; RULAUNCH.EXE; ALOGSERV.EXE; OGRC.EXE; NAVAPSVC.EXE;
      NSPLUGIN.EXE; NOD32.EXE; _AVPM.EXE; AMON.EXE; NAVWNT.EXE; NAVW32.EXE;
      SPIDER.EXE; AVPM.EXE; ATGUARD.EXE; KAVPF.EXE; BLACKICE.EXE;
      LOOKOUT.EXE; CMGRDIAN.EXE; IAMAPP.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; ZONEALARM.EXE; ZONALM2601.EXE; ZATUTOR.EXE;
      ZAPSETUP3001.EXE; ZAPRO.EXE; OUTPOSTPROINSTALL.EXE; ZONALARM.EXE

Backdoor Открываются следующие порты:

– win24.exe/sysmon.exe по TCP порту 2001 для обеспечения HTTP сервера.
– win24.exe/sysmon.exe по TCP порту 16248 для обеспечения FTP сервера.

Разное Мьютекс:

Создается один из следующих мьютексов:
• MicroSystemFlooderIRCd7
• MicroSystemFlooder7

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) вторник, 25 апреля 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 25 апреля 2006 г.

Назад . . . .

Рекомендуемые продукты

Больше продуктов

Наиболее популярные продукты

Все продукты

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты

Рекомендуемые продукты

Больше продуктов

Наиболее популярные продукты

Все продукты

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты