Email-Worm.Win32.Kipis.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем "regedit.com":

%WinDir%\regedit.com

В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса.

Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe":

%WinDir%\security\svchost.exe

В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint.

Файл "Jpg.bmp" содержит следующую строку:

BMD -:+:- zzzzzzzzzzz

Затем червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\security\svchost.exe"

Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
 dbx
 doc
 htm
 tbb
 txt

Игнорируется отправка писем на адреса, содержащие строки:

.gov
 .hlp
 .mil
 .txt
 .zip
 abuse
 accoun
 admin
 antivir
 anyone
 avp
 bigbrother
 bitdef
 borlan
 bugs
 bugtraq
 confirm
 contact
 delphiworld
 fido
 foo.
 google
 gov.
 guninski
help
 hotmail
 icrosoft
 info
 iruslis
 latincards
 linux
 listserv
 mailer
 moco2k
 mozilla
 msn.
 msoe
 mydomai
 nai.c
 neohapsis
 news
 newvir
 nodomai
 notice
 page
 panda
 pgp
 podpiska
postmaster
 privacy
 rating
 register
 rfc-
 ripe.
 secur
 sendmail
 service
 site
 soft
 software.
 sopho
 spm111
 strike.
 support
 syman
 the.bat
 unix
 webmaney
 webmaster
 where
 www.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  • Love
  • Happy New Year
  • I Love You

Текст письма:

Hello! baby :-)

Server cannot send message.
_____________________________________________
On all questions address in a support service

Имя файла-вложения:

  • foto_03.scr
  • myfoto_04.scr
  • your present.scr

Размножение через файлообменные сети

Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share":

  • DrWeb 4.32 keygen.com
  • KAV Pro 5.xx keygen.com
  • Nude Britney Spears.scr
  • Nude Pic_07.scr
  • Virtual Girl 2.01.com
  • WinXP Sp2 key.com

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 1029 для приема команд.

Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы.

Действие

Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки:

___r.
 ___synmgr.
 avmon
 blackice
 bscanx
 bupw.
 dec25.
 duba
 ewall
 filemon.
 frw.
 gate
 guard.
 kav
 kerio
 maniac.
 mcafee
 nav
nprotect
 outpost
 regmon.
 rfw.
 rising
 safe
 skynet
 sphinx.
 suchost.
 svchosl.
 symantec
 systra.e
 taumon
 update
 upgrade
 winit.
 zonealarm
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.