Email-Worm.Win32.Kipis.a
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ.
Червь содержит в себе бэкдор-функцию.
Инсталляция
После запуска червь копирует себя в корневой каталог Windows с именем "regedit.com":
%WinDir%\regedit.com
В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса.
Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe":
%WinDir%\security\svchost.exe
В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint.
Файл "Jpg.bmp" содержит следующую строку:
BMD -:+:- zzzzzzzzzzz
Затем червь регистрирует себя в ключе автозагрузки системного реестра:
"Shell"="Explorer.exe "%WinDir%\security\svchost.exe"
Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
adb dbx doc htm tbb txt
Игнорируется отправка писем на адреса, содержащие строки:
.gov .hlp .mil .txt .zip abuse accoun admin antivir anyone avp bigbrother bitdef borlan bugs bugtraq confirm contact delphiworld fido foo. google gov. guninski |
help hotmail icrosoft info iruslis latincards linux listserv mailer moco2k mozilla msn. msoe mydomai nai.c neohapsis news newvir nodomai notice page panda pgp podpiska |
postmaster privacy rating register rfc- ripe. secur sendmail service site soft software. sopho spm111 strike. support syman the.bat unix webmaney webmaster where www. |
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
- Love
- Happy New Year
- I Love You
Текст письма:
Server cannot send message.
_____________________________________________
On all questions address in a support service
Имя файла-вложения:
- foto_03.scr
- myfoto_04.scr
- your present.scr
Размножение через файлообменные сети
Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share":
- DrWeb 4.32 keygen.com
- KAV Pro 5.xx keygen.com
- Nude Britney Spears.scr
- Nude Pic_07.scr
- Virtual Girl 2.01.com
- WinXP Sp2 key.com
Удаленное администрирование
Червь открывает на зараженной машине TCP порт 1029 для приема команд.
Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы.
Действие
Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки:
___r. ___synmgr. avmon blackice bscanx bupw. dec25. duba ewall filemon. frw. gate guard. kav kerio maniac. mcafee nav |
nprotect outpost regmon. rfw. rising safe skynet sphinx. suchost. svchosl. symantec systra.e taumon update upgrade winit. zonealarm |
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!