Email-Worm.Win32.Kipis.u

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Email-Worm.Win32.Kipis.u («Лаборатория Касперского») также известен как: Win32.HLLM.Dasha (Doctor Web), Worm/Kipis.U (H+BEDV), Worm.Kipis.U-1 (ClamAV), Suspect File (Panda), Win32/Kipis.U (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 8 КБ.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем regedit.com:

%WinDir%\regedit.com

В результате при открытии системного реестра (regedit.exe) на компьютере запускается копия вируса.

Также червь создает свою копию с именем iexplore.exe в следующей папке:

 
 %System%\Microsoft\iexplore.exe

Затем червь регистрирует себя в ключе автозапуска системного реестра:

 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot]
  "shell"="%System%\Microsoft\iexplore.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

 adb
 dbx
 dhtm
 doc
 eml
 htm
 msg
 pab
 php
 shtm
 tbb
 txt
 uin
 wab
 xls

Игнорируется отправка писем на адреса, содержащие строки:

 
 @avp.
 @bitdefen
 @borlan
 @drweb
 @fido
 @foo
 @iana
 @ietf
 @kasper
 @klamav
 @license
 @mcafee
 @messagelab
 @microsof
 @mydomai
 @nod3
 @nodomai
 @norman
 @panda
 @rfc-ed
 @somedomai
 @sopho
 @symante
 @usenet
 @virusli
 abuse@
 accoun
 admin@
 antivir
 anyone@
 bsd
 bugs@
 contact@
 contract@
 free-av
 f-secur
 google
 help@
 info@
 listserv
 mailer-
 mozzila
 news@
 newvir
 nobody@
 noone@
 noreply
 notice@
 page@
 pgp
 podpiska@
 postmaster@
 privacy@
 rar@
 rating@
 register@
 root@
 sales@
 service@
 site@
 soft@
 spm111@
 suporte@
 support@
 technical@
 the.bat
 update@
 virus@
 webmaster@
 winrar
 winzip
 you@

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

 
 Access denied
 Avec l'anniversaire
 Chat notify!
 Con el dia del nacimiento
 Contracto
 Den Vertrag
 Hotmail password
 Ich liebe dich
 L'accord
 Love you!
 Me email
 Re: 666
 Re: Bugs
 Re: Crack
 Re: Die Begegnung geev
 Re: El encuentro Chata
 Re: el Encuentro de los gays
 Re: Encuentro en 15:30
 Re: Exploit for Outlook Express 6.0
 Re: FUCK YOU!
 Re: Gipfeltreffen
 Re: I Gey
 Re: I Love you
 Re: Je t'aime
 Re: La Rencontre CHata
 Re: La rencontre des gays
 Re: Love message
 Re: Meeting of gays
 Re: Meine Daten
 Re: Mes donnees
 Re: Mi dados
 Re: Mit dem Geburtstag
 Re: New Exploit for Windows XP
 Re: rencontre a 15:30
 Re: te amo
 Re: V.I.P
 Re: Встреча в 15:30
 Re: Встреча геев
 Re: Встреча лезбиянок
 Re: Встреча Чата
 Re: Мои данные
 Re: С днём рождения
 Re: Я тебя люблю
 The Cannabis
 Treffpunkt
 Your Dead!

Текст письма:

Выбирается из списка:

 
 >Thank you..!
 Agreed...
 All right..
 Bien
 Congrulate..!
 Danke erreichen.
 Danke..
 De la chance, merci.
 des Erfolges..
 Est d'accord
 esta bien..
 Gracias Han acordado...
 Gracias!
 Gut werde ich.
 Habel sich vereinbart..
 I will come well.
 Je viens bien...
 los Aciertos..
 Merci..
 Ont convenu
 Successes..
 vendre Bien.
 Договор
 Договорились..
 Ладно...
 Согласен..
 Спасибо..
 Удачи, спасибо.
 Хорошо приду..

Имя файла-вложения:

Выбирается из списка:

 
 Dados
 das Dokument
 data
 Daten
 Den Text
 des Einzelteil
 die Mitteilung
 Documento
 Donnees
 el Detalle
 el mensaje
 El texto
 info
 Information
 la Info
 le Document
 le message
 Le texte
 Les details
 Like
 misk
 Note
 postmaster
 price
 readme
 text
 Данные
 Детали
 Документ
 Инфо
 Информация
 сообщение
 текст

Вложения могут иметь одно из расширений:

 
 ...sCR
 .+.scR
 _..ScR
 +.sCR+.sCR

Размножение через файлообменные сети

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

 
 Crack collection.scr
 DDoS bot(src)..scr
 Forum Hack.txt.scr
 Hack Chat.exe
 Hack Unix Server(info).scr
 Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe
 Land Attack(source and files).exe
 NLP.scr
 Screensaver for Hackers.scr
 Winamp 6(plugins).exe
 Windows 2000(source code).scr

Действие

Kipis.u выгружает из системы различные процессы, содержащие в именах следующие строки:

 
 anvir
 apv
 avc
 aveng
 avg
 avk
 avp
 avw
 avx
 bkacki
 blackd
 blss
 cfi
 clean
 defwat
 drweb
 egedit.ex
 ewall
 fsa
 fsm
 guard
 hijack
 hxde
 ilemon
 kerio
 klagent
 klamav
 luacomserv
 minilog.
 monitor
 mooli
 mosta
 mpf
 nav
 neomon
 netarm
 netspy
 nisse
 nisum
 nod3
 nod3
 norman
 normis
 norton
 outpos
 pav
 pavsrv
 pcc
 protect
 proxy.
 rav
 rfw
 spider
 svc.
 syman
 taskmgr
 tmon
 trojan
 updat
 upgrad
 virus
 vsmon
 zapro.
 zonalm
 zonea
 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.