Имя:Worm/Kipis.g
Обнаружен:24/01/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:16.000 байт.
Контрольная сумма MD5:095aac37b121cd3e36a2bba0ea8a26a7
Версия VDF:6.29.00.77

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Symantec: W32.Kipis.A@mm
   •  Mcafee: W32/Kipis.d@MM
   •  Kaspersky: Email-Worm.Win32.Kipis.g
   •  TrendMicro: WORM_KIPIS.C
   •  Sophos: W32/Kipis-G
   •  Grisoft: I-Worm/Kipis.F
   •  VirusBuster: I-Worm.Kipis.C
   •  Eset: Win32/Kipis.G
   •  Bitdefender: Win32.Kipis.G@mm


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %WINDIR%\regedit.com
   • %SYSDIR%\netstat.com
   • %SYSDIR%\Microsoft\svchost.exe

 Реестр Изменяется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Прежнее значение:
   • "Shell"="Explorer.exe"
   Новое значение:
   • "Shell"="Explorer.exe %SYSDIR%\Microsoft\svchost.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Hello
   • Hi
   • Letter
   • Love
   • message
   • Re: Hello
   • Re: Hi
   • Re: Letter
   • Re: Love
   • Re: message



Тело:
Тело письма имеет один из следующих видов:

   • With the coming Valentine's day. :)

   • What for you have send me this letter?
     I have read, i precisely do not know you.

   • What for you have send me this letter?

   • Greetings, you do not know me,
     me asked to send you this love letter.

   • Please look my Love letter..
     Bye.


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • letter.pif
   • message.pif
   • Love.pif
   • link.love you.php679807.pif
   • I-LOVE-YOU.pif

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • html; eml; xls; xml; uin; tbb; dbx; doc; htm; adb; txt


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • sandra; mary; bill; toma; linda; stan; mike; anna; adam; maria; rosa;
      stiv; liza; dana; alex

Комбинируется с обнаруженным в файлах системы доменным именем.


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • bitdefend; mailer; podpiska; accoun; listserv; newvir; antivir;
      support; admin; sales; news; info; site; webmaney; drweb; where;
      abuse; rating; the.bat; page; soft; register; notice; help; bugs;
      contact; service; kaspersky; nod32; privacy; webmaster; postmaster;
      rfc-; ripe.; sybari; anyone; mozilla; sendmail; pgp; secur; fido;
      google; .edu; mydomai; gov.; foo.; iruslis; norman; e-trust-; .hlp;
      .gov; nodomai; borlan; hotmail; f-prot; klamav; bitdefen; sopho;
      syman; software.; .mil; panda; msn.; icrosoft; avp


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mail.
   • mx1.
   • mx.
   • smtp.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих одну из следующих последовательностей знаков папок
   • upload
   • incomin
   • downloa
   • grokste
   • shar

   При успешном завершении поиска создаются следующие файлы:
   • Porno arhive(sex,oral,anal,bdsm).scr
   • Winamp 6 full.exe
   • MS Office XP Crack.exe
   • Crack collection(6 892).exe
   • KAV 5.0x Keygen.exe
   • WinXP SP3 crack.exe
   • MyProxy 7.0x crack.exe


 Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • filemon.; regmon.; nopdb.; escanhnt.; frw.; upw; rewall; guard.;
      ccapp.; blackd.; sphinx.; maniac.; bscan; protect; suchost.; safe;
      taumon; kerio; blackice; fiaudit.; upgrade; update; alarm; post;
      rising; winit.; symantec; gate; kav; mcafee; nav; luall.; rweb; duba;
      svchosl.; avmon


 Backdoor Открывается порт:

%Рабочая папка вредоносной программы%\%выполненный файл% по TCP порту 7312 для обеспечения backdoor функции.

 Разное Создается мьютекс:
   • -= KiPiSh - GFxPRO - 0x1.0 =-

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Irina Boldea в(о) понедельник, 14 августа 2006 г.
Описание обновил Irina Boldea в(о) вторник, 15 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.