Security Lab

Email-Worm.Win32.Kipis.a

Email-Worm.Win32.Kipis.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем "regedit.com":

%WinDir%\regedit.com

В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса.

Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe":

%WinDir%\security\svchost.exe

В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint.

Файл "Jpg.bmp" содержит следующую строку:

BMD -:+:- zzzzzzzzzzz

Затем червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\security\svchost.exe"

Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
  dbx
  doc
  htm
  tbb
  txt

Игнорируется отправка писем на адреса, содержащие строки:

.gov
  .hlp
  .mil
  .txt
  .zip
  abuse
  accoun
  admin
  antivir
  anyone
  avp
  bigbrother
  bitdef
  borlan
  bugs
  bugtraq
  confirm
  contact
  delphiworld
  fido
  foo.
  google
  gov.
  guninski
help
  hotmail
  icrosoft
  info
  iruslis
  latincards
  linux
  listserv
  mailer
  moco2k
  mozilla
  msn.
  msoe
  mydomai
  nai.c
  neohapsis
  news
  newvir
  nodomai
  notice
  page
  panda
  pgp
  podpiska
postmaster
  privacy
  rating
  register
  rfc-
  ripe.
  secur
  sendmail
  service
  site
  soft
  software.
  sopho
  spm111
  strike.
  support
  syman
  the.bat
  unix
  webmaney
  webmaster
  where
  www.

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  • Love
  • Happy New Year
  • I Love You

Текст письма:

Hello! baby :-)

Server cannot send message.
_____________________________________________
On all questions address in a support service

Имя файла-вложения:

  • foto_03.scr
  • myfoto_04.scr
  • your present.scr

Размножение через файлообменные сети

Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share":

  • DrWeb 4.32 keygen.com
  • KAV Pro 5.xx keygen.com
  • Nude Britney Spears.scr
  • Nude Pic_07.scr
  • Virtual Girl 2.01.com
  • WinXP Sp2 key.com

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 1029 для приема команд.

Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы.

Действие

Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки:

___r.
  ___synmgr.
  avmon
  blackice
  bscanx
  bupw.
  dec25.
  duba
  ewall
  filemon.
  frw.
  gate
  guard.
  kav
  kerio
  maniac.
  mcafee
  nav
nprotect
  outpost
  regmon.
  rfw.
  rising
  safe
  skynet
  sphinx.
  suchost.
  svchosl.
  symantec
  systra.e
  taumon
  update
  upgrade
  winit.
  zonealarm

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!