Security Lab

Email-Worm.Win32.Kipis.u

Email-Worm.Win32.Kipis.u

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Email-Worm.Win32.Kipis.u («Лаборатория Касперского») также известен как: Win32.HLLM.Dasha (Doctor Web), Worm/Kipis.U (H+BEDV), Worm.Kipis.U-1 (ClamAV), Suspect File (Panda), Win32/Kipis.U (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 8 КБ.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем regedit.com:

%WinDir%\regedit.com

В результате при открытии системного реестра (regedit.exe) на компьютере запускается копия вируса.

Также червь создает свою копию с именем iexplore.exe в следующей папке:

  
  %System%\Microsoft\iexplore.exe

Затем червь регистрирует себя в ключе автозапуска системного реестра:

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot]
   "shell"="%System%\Microsoft\iexplore.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

  adb
  dbx
  dhtm
  doc
  eml
  htm
  msg
  pab
  php
  shtm
  tbb
  txt
  uin
  wab
  xls

Игнорируется отправка писем на адреса, содержащие строки:

  
  @avp.
  @bitdefen
  @borlan
  @drweb
  @fido
  @foo
  @iana
  @ietf
  @kasper
  @klamav
  @license
  @mcafee
  @messagelab
  @microsof
  @mydomai
  @nod3
  @nodomai
  @norman
  @panda
  @rfc-ed
  @somedomai
  @sopho
  @symante
  @usenet
  @virusli
  abuse@
  accoun
  admin@
  antivir
  anyone@
  bsd
  bugs@
  contact@
  contract@
  free-av
  f-secur
  google
  help@
  info@
  listserv
  mailer-
  mozzila
  news@
  newvir
  nobody@
  noone@
  noreply
  notice@
  page@
  pgp
  podpiska@
  postmaster@
  privacy@
  rar@
  rating@
  register@
  root@
  sales@
  service@
  site@
  soft@
  spm111@
  suporte@
  support@
  technical@
  the.bat
  update@
  virus@
  webmaster@
  winrar
  winzip
  you@

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  
  Access denied
  Avec l'anniversaire
  Chat notify!
  Con el dia del nacimiento
  Contracto
  Den Vertrag
  Hotmail password
  Ich liebe dich
  L'accord
  Love you!
  Me email
  Re: 666
  Re: Bugs
  Re: Crack
  Re: Die Begegnung geev
  Re: El encuentro Chata
  Re: el Encuentro de los gays
  Re: Encuentro en 15:30
  Re: Exploit for Outlook Express 6.0
  Re: FUCK YOU!
  Re: Gipfeltreffen
  Re: I Gey
  Re: I Love you
  Re: Je t'aime
  Re: La Rencontre CHata
  Re: La rencontre des gays
  Re: Love message
  Re: Meeting of gays
  Re: Meine Daten
  Re: Mes donnees
  Re: Mi dados
  Re: Mit dem Geburtstag
  Re: New Exploit for Windows XP
  Re: rencontre a 15:30
  Re: te amo
  Re: V.I.P
  Re: Встреча в 15:30
  Re: Встреча геев
  Re: Встреча лезбиянок
  Re: Встреча Чата
  Re: Мои данные
  Re: С днём рождения
  Re: Я тебя люблю
  The Cannabis
  Treffpunkt
  Your Dead!

Текст письма:

Выбирается из списка:

  
  >Thank you..!
  Agreed...
  All right..
  Bien
  Congrulate..!
  Danke erreichen.
  Danke..
  De la chance, merci.
  des Erfolges..
  Est d'accord
  esta bien..
  Gracias Han acordado...
  Gracias!
  Gut werde ich.
  Habel sich vereinbart..
  I will come well.
  Je viens bien...
  los Aciertos..
  Merci..
  Ont convenu
  Successes..
  vendre Bien.
  Договор
  Договорились..
  Ладно...
  Согласен..
  Спасибо..
  Удачи, спасибо.
  Хорошо приду..

Имя файла-вложения:

Выбирается из списка:

  
  Dados
  das Dokument
  data
  Daten
  Den Text
  des Einzelteil
  die Mitteilung
  Documento
  Donnees
  el Detalle
  el mensaje
  El texto
  info
  Information
  la Info
  le Document
  le message
  Le texte
  Les details
  Like
  misk
  Note
  postmaster
  price
  readme
  text
  Данные
  Детали
  Документ
  Инфо
  Информация
  сообщение
  текст

Вложения могут иметь одно из расширений:

  
  ...sCR
  .+.scR
  _..ScR
  +.sCR+.sCR

Размножение через файлообменные сети

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

  
  Crack collection.scr
  DDoS bot(src)..scr
  Forum Hack.txt.scr
  Hack Chat.exe
  Hack Unix Server(info).scr
  Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe
  Land Attack(source and files).exe
  NLP.scr
  Screensaver for Hackers.scr
  Winamp 6(plugins).exe
  Windows 2000(source code).scr

Действие

Kipis.u выгружает из системы различные процессы, содержащие в именах следующие строки:

  
  anvir
  apv
  avc
  aveng
  avg
  avk
  avp
  avw
  avx
  bkacki
  blackd
  blss
  cfi
  clean
  defwat
  drweb
  egedit.ex
  ewall
  fsa
  fsm
  guard
  hijack
  hxde
  ilemon
  kerio
  klagent
  klamav
  luacomserv
  minilog.
  monitor
  mooli
  mosta
  mpf
  nav
  neomon
  netarm
  netspy
  nisse
  nisum
  nod3
  nod3
  norman
  normis
  norton
  outpos
  pav
  pavsrv
  pcc
  protect
  proxy.
  rav
  rfw
  spider
  svc.
  syman
  taskmgr
  tmon
  trojan
  updat
  upgrad
  virus
  vsmon
  zapro.
  zonalm
  zonea
  

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!