Worm.Win32_Kipis-U

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 7856 Octet(s)

Détails techniques:

Kipis-U s'envoie par courriel aux adresses qu'il trouve sur le disque dur de l'ordinateur infecté dans les fichiers portant les extensions suivantes :

ADB
DBX
DHTM
DOC
EML
HTM
MSG
PAB
PHP
SHTM
TBB
TXT
UIN
WAB
XLS


Le ver n'envoie pas de courriels aux adresses contenant une des chaînes suivantes :

@avp.
@bitdefen
@borlan
@drweb
@fido
@foo
@iana
@ietf
@kasper
@klamav
@license
@mcafee
@messagelab
@microsof
@mydomai
@nod3
@nodomai
@norman
@panda
@rfc-ed
@somedomai
@sopho
@symante
@usenet
@virusli
abuse@
accoun
admin@
antivir
anyone@
bsd
bugs@
contact@
contract@
f-secur
free-av
google
help@
info@
listserv
mailer-
mozzila
news@
newvir
nobody@
noone@
noreply
notice@
page@
pgp
podpiska@
postmaster@
privacy@
rar@
rating@
register@
root@
sales@
service@
site@
soft@
spm111@
suporte@
support@
technical@
the.bat
update@
virus@
webmaster@
winrar
winzip
you@


La ligne Objet, le corps de message et le nom de pièce jointe des courriels envoyés par le ver peuvent être en anglais, français, allemand, espagnol, russe ou ukrainien. La langue est choisie selon le domaine du destinataire du courriel.

Kipis-U tente aussi de se propager dans les dossiers partagés en se copiant dans tout dossier dont le nom est composé de 'share' ou 'microsof'.

Lorsqu'il se copie dans les dossiers partagés, le ver utilise les noms de fichiers suivants :

Land Attack(source et fichiers).exe
DDoS bot(src)..scr
Forum Hack.txt.scr
Winamp 6(plugins).exe
Crack collection.scr
NLP.scr
Hack Unix Server(info).scr
Screensaver for Hackers.scr
Windows 2000(source code).scr
Hack Chat.exe
Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe


Kipis-U s'exécute en permanence en tâche de fond, fournissant un serveur de porte dérobée qui permet à un intrus distant de télécharger et d'exécuter des programmes sur l'ordinateur infecté.

Lorsqu'il est exécuté, Kipis-U se copie dans :

%Windows%\regedit.com
%System%\Microsoft\iexplore.exe


Note: '%Windows%' est une variable de localisation. Kipis-U détermine le chemin du répertoire de Windows en effectuant une requête au système d'exploitation. Le répertoire Windows par défaut pour Windows 2000 et NT est C:\Winnt; pour 95,98 et ME est C:\Windows\; et pour XP est C:\Windows\.

Note: '%System%' est une variable de localisation. Kipis-U détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Pour exécuter "iexplore.exe" au démarrage, l'entrée de registre suivante est créée :

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe %System%\Microsoft\iexplore.exe


L'entrée de registre suivante est aussi définie :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot
shell
%System%\Microsoft\iexplore.exe


Kipis-U tente de désactiver des services dont le nom est composé des chaînes suivantes :

anvir
apv
avc
aveng
avg
avk
avp
avw
avx
blackd
blacki
blss
cfi
clean
defwat
drweb
egedit.ex
ewall
fsa
fsm
guard
hijack
hxde
ilemon
kerio
klagent
klamav
luacomserv
minilog.
monitor
mooli
mosta
mpf
nav
neomon
netarm
netspy
nisse
nisum
nod3
norman
normis
norton
outpos
pav
pavsrv
pcc
protect
proxy.
rav
rfw
spider
svc.
syman
taskmgr
tmon
trojan
updat
upgrad
virus
vsmon
zapro.
zonalm
zonea





http://www.newdimension-fr.net/