Email-Worm.Win32.Kipis.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем "regedit.com":

%WinDir%\regedit.com

В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса.

Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe":

%WinDir%\security\svchost.exe

В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint.

Файл "Jpg.bmp" содержит следующую строку:

BMD -:+:- zzzzzzzzzzz

Затем червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\security\svchost.exe"

Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
dbx
doc
htm
tbb
txt

Игнорируется отправка писем на адреса, содержащие строки:

.gov
.hlp
.mil
.txt
.zip
abuse
accoun
admin
antivir
anyone
avp
bigbrother
bitdef
borlan
bugs
bugtraq
confirm
contact
delphiworld
fido
foo.
google
gov.
guninski
help
hotmail
icrosoft
info
iruslis
latincards
linux
listserv
mailer
moco2k
mozilla
msn.
msoe
mydomai
nai.c
neohapsis
news
newvir
nodomai
notice
page
panda
pgp
podpiska
postmaster
privacy
rating
register
rfc-
ripe.
secur
sendmail
service
site
soft
software.
sopho
spm111
strike.
support
syman
the.bat
unix
webmaney
webmaster
where
www.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  • Love
  • Happy New Year
  • I Love You

Текст письма:

Hello! baby :-)

Server cannot send message.
_____________________________________________
On all questions address in a support service

Имя файла-вложения:

  • foto_03.scr
  • myfoto_04.scr
  • your present.scr

Размножение через файлообменные сети

Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share":

  • DrWeb 4.32 keygen.com
  • KAV Pro 5.xx keygen.com
  • Nude Britney Spears.scr
  • Nude Pic_07.scr
  • Virtual Girl 2.01.com
  • WinXP Sp2 key.com

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 1029 для приема команд.

Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы.

Действие

Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки:

___r.
___synmgr.
avmon
blackice
bscanx
bupw.
dec25.
duba
ewall
filemon.
frw.
gate
guard.
kav
kerio
maniac.
mcafee
nav
nprotect
outpost
regmon.
rfw.
rising
safe
skynet
sphinx.
suchost.
svchosl.
symantec
systra.e
taumon
update
upgrade
winit.
zonealarm