Worm.Win32_Kipis-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 140000 Octet(s)

Détails techniques:

Une fois exécuté, le ver créait un mutex nommé "KiPiShx018AxR" pour éviter qu'un autre ver fonctionne simultanément.

Installation
Il se copie ensuite dans le répertoire %WinDir% sous le nom de "regedit.com". %WinDir% représentant le répertoire par défaut de Windows (par exemple C:\Windows\ sur une installation par défaut de Windows XP). En se copiant sous ce nom, le ver peut ainsi être exécuté si l'utilisateur saisi "regedit" dans l'option "Exécuter" du menu "Démarrer".

Il créait également un dossier nommé "Security" dans le répertoire %WinDir% et s'y copie sous le nom "svchost.exe". Ce chemin est ensuite ajouté au fichier system.ini en utilisant l'API Windows "WritePrivateProfileStringA" de la DLL "Kernel32.dll".

L'entrée ajoutée au fichier system.ini est la suivante:

[boot]
Shell=Explorer.exe "%WinDir%\security\svchost.exe"

Le ver ajoute à la base de registre la clé suivante afin de s'exécuter à chaque démarrage de sessions utilisateurs :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = Explorer.exe "%WinDir%\security\svchost.exe"

Il créait également un fichier nommé "Jpg.bmp" dans le répertoire système de Windows (par exemple C:\Windows\System32 sur une installation par défaut de Windows XP) et tente de l'ouvrir avec MS Paint (mspaint.exe).

Ce fichier "Jpg.bmp" contient la chaîne de caractère suivante:

BMD -:+:- zzzzzzzzzzz

Propagation par courriel
Kipis-A tente de récupérer l'ensemble des adresses électronique du Carnet d'adresse de Windows. Il collecte également les adresses sur le disque dur (de C: à Z:), en cherchant plus particulièrement dans les fichiers ayant les extensions suivantes :
.tbb
.dbx
.doc
.htm
.adb
.txt


Le ver n'envoie pas de messages aux adresses électroniques comportant les chaînes de caractères suivantes :

.gov
.hlp
.mil
.txt
.zip
abuse
accoun
admin
antivir
anyone
avp
bigbrother
bitdef
borlan
bugs
bugtraq
confirm
contact
delphiworld
fido
foo.
google
gov.
guninski
help
hotmail
icrosoft
info
iruslis
latincards
linux
listserv
mailer
moco2k
mozilla
msn.
msoe
mydomai
nai.c
neohapsis
news
newvir
nodomai
notice
page
panda
pgp
podpiska
postmaster
privacy
rating
register
rfc-
ripe.
secur
sendmail
service
site
soft
software.
sopho
spm111
strike.
support
syman
the.bat
unix
webmaney
webmaster
where
www.


Le ver possède son propre serveur SMTP afin d'envoyer les courriels infectés. Les messages envoyés par le ver ont les caractéristiques suivantes :

L'objet est choisi aléatoirement parmi la liste suivante :
I Love You
Happy New Year
Love


Le message est le suivant : Hello! baby :-)

Le message envoyé peut également être un faux message d'erreur :

Server cannot send message.

_____________________________________________
On all questions address in a support service


Le ver s'attache ensuite au message infecté en utilisant l'un des noms suivant :
your present.scr
foto_03.scr
myfoto_04.scr
trax_06.scr
dom2.scr
foto_05.scr


Propagation par le réseau
Le ver se propage également par le réseau (Peer To Peer ou réseau local). Lorsqu'il localise un dossier partagé, il s'y copie sous un des noms suivants:
Nude Britney Spears.scr
Nude Pic_07.scr
Virtual Girl 2.01.com
KAV Pro 5.xx keygen.com
DrWeb 4.32 keygen.com
WinXP Sp2 key.com


Charge finale
Kipis-A est également capable de détecter et terminer les processus contenant les chaînes de caractères suivantes :
___r.
___synmgr.
avmon
blackice
bscanx
bupw.
dec25.
duba
ewall
filemon.
frw.
gate
guard.
kav
kerio
maniac.
mcafee
nav
nprotect
outpost
regmon.
rfw.
rising
safe
skynet
sphinx.
suchost.
svchosl.
symantec
systra.e
taumon
update
upgrade
winit.
zonealarm


Porte dérobée
Le ver possède une porte dérobée en écoute sur le port 1029. Une connexion sur cette porte dérobée permet l'upload et l'exécution de programmes externes.




http://www.pourriel.ca/