Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows, имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 140КБ.
Червь содержит в себе бэкдор-функцию.
После запуска червь копирует себя в корневой каталог Windows с именем "regedit.com":
%WinDir%\regedit.com
В результате при открытии редактора системного реестра ("regedit.exe") на компьютере запускается копия вируса.
Также в корневом каталоге Windows червь создает папку "security", в которую помещает свою копию с именем "svchost.exe":
%WinDir%\security\svchost.exe
В системном каталоге Windows червь создает файл "Jpg.bmp" и пытается открыть его с помощью MS Paint.
Файл "Jpg.bmp" содержит следующую строку:
BMD -:+:- zzzzzzzzzzz
Затем червь регистрирует себя в ключе автозагрузки системного реестра:
Червь создает в памяти уникальный идентификатор "KiPiShx018AxR" для определения своего присутствия в системе.
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
adb dbx doc htm tbb txt
Игнорируется отправка писем на адреса, содержащие строки:
.gov .hlp .mil .txt .zip abuse accoun admin antivir anyone avp bigbrother bitdef borlan bugs bugtraq confirm contact delphiworld fido foo. google gov. guninski |
help hotmail icrosoft info iruslis latincards linux listserv mailer moco2k mozilla msn. msoe mydomai nai.c neohapsis news newvir nodomai notice page panda pgp podpiska |
postmaster privacy rating register rfc- ripe. secur sendmail service site soft software. sopho spm111 strike. support syman the.bat unix webmaney webmaster where www. |
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Выбирается из списка:
Server cannot send message.
_____________________________________________
On all questions address in a support service
Червь создает свои копии с именами, выбираемыми из приведенного ниже списка, во всех подкаталогах, содержащих в своем названии слово "Share":
Червь открывает на зараженной машине TCP порт 1029 для приема команд.
Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор способен загружать из интернета и запускать на исполнение произвольные файлы.
Kipis.a выгружает из памяти процессы, в именах которых есть следующие подстроки:
___r. ___synmgr. avmon blackice bscanx bupw. dec25. duba ewall filemon. frw. gate guard. kav kerio maniac. mcafee nav |
nprotect outpost regmon. rfw. rising safe skynet sphinx. suchost. svchosl. symantec systra.e taumon update upgrade winit. zonealarm |
И мы тоже не спим, чтобы держать вас в курсе всех угроз