Email-Worm.Win32.Kipis.u

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Email-Worm.Win32.Kipis.u («Лаборатория Касперского») также известен как: Win32.HLLM.Dasha (Doctor Web), Worm/Kipis.U (H+BEDV), Worm.Kipis.U-1 (ClamAV), Suspect File (Panda), Win32/Kipis.U (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 8 КБ.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем regedit.com:

%WinDir%\regedit.com

В результате при открытии системного реестра (regedit.exe) на компьютере запускается копия вируса.

Также червь создает свою копию с именем iexplore.exe в следующей папке:


%System%\Microsoft\iexplore.exe

Затем червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot]
 "shell"="%System%\Microsoft\iexplore.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
dbx
dhtm
doc
eml
htm
msg
pab
php
shtm
tbb
txt
uin
wab
xls

Игнорируется отправка писем на адреса, содержащие строки:


@avp.
@bitdefen
@borlan
@drweb
@fido
@foo
@iana
@ietf
@kasper
@klamav
@license
@mcafee
@messagelab
@microsof
@mydomai
@nod3
@nodomai
@norman
@panda
@rfc-ed
@somedomai
@sopho
@symante
@usenet
@virusli
abuse@
accoun
admin@
antivir
anyone@
bsd
bugs@
contact@
contract@
free-av
f-secur
google
help@
info@
listserv
mailer-
mozzila
news@
newvir
nobody@
noone@
noreply
notice@
page@
pgp
podpiska@
postmaster@
privacy@
rar@
rating@
register@
root@
sales@
service@
site@
soft@
spm111@
suporte@
support@
technical@
the.bat
update@
virus@
webmaster@
winrar
winzip
you@

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:


Access denied
Avec l'anniversaire
Chat notify!
Con el dia del nacimiento
Contracto
Den Vertrag
Hotmail password
Ich liebe dich
L'accord
Love you!
Me email
Re: 666
Re: Bugs
Re: Crack
Re: Die Begegnung geev
Re: El encuentro Chata
Re: el Encuentro de los gays
Re: Encuentro en 15:30
Re: Exploit for Outlook Express 6.0
Re: FUCK YOU!
Re: Gipfeltreffen
Re: I Gey
Re: I Love you
Re: Je t'aime
Re: La Rencontre CHata
Re: La rencontre des gays
Re: Love message
Re: Meeting of gays
Re: Meine Daten
Re: Mes donnees
Re: Mi dados
Re: Mit dem Geburtstag
Re: New Exploit for Windows XP
Re: rencontre a 15:30
Re: te amo
Re: V.I.P
Re: Встреча в 15:30
Re: Встреча геев
Re: Встреча лезбиянок
Re: Встреча Чата
Re: Мои данные
Re: С днём рождения
Re: Я тебя люблю
The Cannabis
Treffpunkt
Your Dead!

Текст письма:

Выбирается из списка:


>Thank you..!
Agreed...
All right..
Bien
Congrulate..!
Danke erreichen.
Danke..
De la chance, merci.
des Erfolges..
Est d'accord
esta bien..
Gracias Han acordado...
Gracias!
Gut werde ich.
Habel sich vereinbart..
I will come well.
Je viens bien...
los Aciertos..
Merci..
Ont convenu
Successes..
vendre Bien.
Договор
Договорились..
Ладно...
Согласен..
Спасибо..
Удачи, спасибо.
Хорошо приду..

Имя файла-вложения:

Выбирается из списка:


Dados
das Dokument
data
Daten
Den Text
des Einzelteil
die Mitteilung
Documento
Donnees
el Detalle
el mensaje
El texto
info
Information
la Info
le Document
le message
Le texte
Les details
Like
misk
Note
postmaster
price
readme
text
Данные
Детали
Документ
Инфо
Информация
сообщение
текст

Вложения могут иметь одно из расширений:


...sCR
.+.scR
_..ScR
+.sCR+.sCR

Размножение через файлообменные сети

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:


Crack collection.scr
DDoS bot(src)..scr
Forum Hack.txt.scr
Hack Chat.exe
Hack Unix Server(info).scr
Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe
Land Attack(source and files).exe
NLP.scr
Screensaver for Hackers.scr
Winamp 6(plugins).exe
Windows 2000(source code).scr

Действие

Kipis.u выгружает из системы различные процессы, содержащие в именах следующие строки:


anvir
apv
avc
aveng
avg
avk
avp
avw
avx
bkacki
blackd
blss
cfi
clean
defwat
drweb
egedit.ex
ewall
fsa
fsm
guard
hijack
hxde
ilemon
kerio
klagent
klamav
luacomserv
minilog.
monitor
mooli
mosta
mpf
nav
neomon
netarm
netspy
nisse
nisum
nod3
nod3
norman
normis
norton
outpos
pav
pavsrv
pcc
protect
proxy.
rav
rfw
spider
svc.
syman
taskmgr
tmon
trojan
updat
upgrad
virus
vsmon
zapro.
zonalm
zonea