Worm.Win32_Kipis-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 20731 Octet(s)

Détails techniques:

Une fois exécuté, le ver créait un mutex nommé "KiPiSx018-AxSE-DDSxKAV" pour éviter qu'un autre ver fonctionne simultanément.

Installation
Il se copie ensuite dans le répertoire %WinDir% sous le nom de "regedit.com". %WinDir% représentant le répertoire par défaut de Windows (par exemple C:Windows sur une installation par défaut de Windows XP). En se copiant sous ce nom, le ver peut ainsi être exécuté si l'utilisateur saisi "regedit" dans l'option "Exécuter" du menu "Démarrer".

Il créait également un dossier nommé "Security" dans le répertoire %WinDir% et s'y copie sous le nom "svchost.exe". Ce chemin est ensuite ajouté au fichier system.ini en utilisant l'API Windows "WritePrivateProfileStringA" de la DLL "Kernel32.dll".

L'entrée ajoutée au fichier system.ini est la suivante:

[boot]
Shell=Explorer.exe "%WinDir%securitysvchost.exe"


Le ver ajoute à la base de registre la clé suivante afin de s'exécuter à chaque démarrage de sessions utilisateurs :

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Shell" = Explorer.exe "%WinDir%securitysvchost.exe"


Il créait également un fichier nommé "Jpg.bmp" dans le répertoire système de Windows (par exemple C:WindowsSystem32 sur une installation par défaut de Windows XP) et tente de l'ouvrir avec MS Paint (mspaint.exe).

Ce fichier "Jpg.bmp" contient la chaîne de caractère suivante:

BMD -:+:- zzzzzzzzzzz

Propagation par courriel
Kipis-B tente de récupérer l'ensemble des adresses électronique du Carnet d'adresse de Windows. Il collecte également les adresses sur le disque dur (de C: à Z:), en cherchant plus particulièrement dans les fichiers ayant les extensions suivantes :

.tbb
.dbx
.doc
.htm
.adb
.txt


Le ver s'envoie également aux adresses électroniques suivantes :

Cameron dias@love.com
kylie minogue@kylie minogue.com
madonna@madonna.com
Britney Spears@britney spears.com


Le ver n'envoie pas de messages aux adresses électroniques comportant les chaînes de caractères suivantes :

.gov
.hlp
.mil
.txt
.zip
abuse
accoun
admin
antivir
anyone
avp
bigbrother
bitdef
borlan
bugs
bugtraq
confirm
contact
delphiworld
fido
foo.
google
gov.
guninski
help
hotmail
icrosoft
info
iruslis
latincards
linux
listserv
mailer
moco2k
mozilla
msn.
msoe
mydomai
neohapsis
news
newvir
nodomai
notice
page
panda
pgp
podpiska
postmaster
privacy
rating
register
rfc-
ripe.
secur
sendmail
service
site
soft
software.
sopho
spm111
strike.
support
syman
the.bat
unix
webmaney
webmaster
where
www.


Le ver possède son propre serveur SMTP afin d'envoyer les courriels infectés. Les messages envoyés par le ver ont les caractéristiques suivantes :

L'objet est choisi aléatoirement parmi la liste suivante :

Hello
Happy New Year
Ass


Le message est choisi aléatoirement parmi la liste suivante :
- Hello! baby :)
- Kiss me Ass...
- Server cannot send message.
_____________________________________________
On all questions address in a support service
support@< random domain from address list>
_____________________________________________


Le ver s'attache ensuite au message infecté en utilisant l'un des noms suivant :
kiss my ass.scr
your present.scr
your screen_03.scr
myfoto_04.scr


Propagation par le réseau
Le ver se propage également par le réseau (Peer To Peer ou réseau local). Lorsqu'il localise un dossier partagé, il s'y copie sous un des noms suivants:
Nude Britney Spears.scr
Nude Pic_07.scr
Virtual Girl 2.01.com
KAV Pro 5.xx keygen.com
DrWeb 4.32 keygen.com
WinXP Sp2 key.com


Charge finale
Kipis-B est également capable de détecter et terminer les processus contenant les chaînes de caractères suivantes :
___r.
___synmgr.
avmon
blackice
bscanx
bupw.
dec25.
duba
ewall
filemon.
frw.
gate
guard.
kav
kerio
maniac.
mcafee
nav
nprotect
outpost
regmon.
rfw.
rising
safe
skynet
sphinx.
suchost.
svchosl.
symantec
systra.e
taumon
update
upgrade
winit.
zonealarm


Déni de Service
Si le jour courant est avant le 14ème du mois Kipis-B lancera une attaque par Déni de Service (DoS) contre 2 sites de société antivirus :
www.kaspersky.ru
www.symantec.com


Téléchargement et exécution de fichiers arbitraires
Kipis-B écoute sur le port TCP 1029, lorsqu'une connexion est détectée, Kipis-B renvoie les informations reçues à l'application %System%Winlogins.exe et ainsi les exécutes.




http://fr.redtram.com/