Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Kalel-B affiche une boîte de message affichant le faux message d'erreur suivant :
Fatal Error: Exception Code=C00000005
Called from - frmimportwizard.pageframe1.page2.command1.click line 70
Called from - mail line 613
Kalel-B contacte les sites www.google.com et search.yahoo.com afin de collecter des adresses électroniques. Le ver s'envoie à ces adresses sous la forme d'une pièce jointe à un courriel.
Les messages sont envoyés avec l'objet suivant :
**WARNING** Mailbox Suspension
Le corps du message est le suivant :
This message was created automatically by mail delivery software (TMDA) - do not reply.
In order to safeguard your mailbox from unexpected termination, please read the attached document.
++ Attachment: No Virus found
++Norton AntiVirus
http://www.symantec.com
Lorsqu'il est exécuté pour la première fois, Kalel-B se copie aux emplacements suivants :
%Windows%\system\lsass.exe
%Windows%\system\services.exe
%Windows%\system\smss.exe
Kalel-B peut se copier dans l'un des dossiers suivants :
C:\My Downloads\
C:\My Shared Folder\
C:\program files\Ares\My Shared Folder\
C:\program files\BearShare\Shared\
C:\program files\direct connect\received files\
C:\program files\eDonkey2000\incoming\
C:\program files\eMule\Incoming\
C:\program files\gnucleus\downloads\
C:\program files\gnucleus\downloads\incoming\
C:\program files\grokster\my grokster\
C:\program files\grokster\my shared folder\
C:\program files\icq\shared files\
C:\program files\KaZaa Lite\My Shared Folder\
C:\program files\KaZaa\My Shared Folder\
C:\program files\KMD\my shared folder\
C:\program files\limeWire\shared\
C:\program files\Morpheus\my shared folder\
C:\program files\rapigator\share\
C:\program files\shareaza\downloads\
C:\program files\StreamCast\Morpheus\my shared folder\
C:\programmi\Ares\My Shared Folder\
C:\programmi\BearShare\Shared\
C:\programmi\direct connect\received files\
C:\programmi\eDonkey2000\incoming\
C:\programmi\eMule\Incoming\
C:\programmi\gnucleus\downloads\
C:\programmi\gnucleus\downloads\incoming\
C:\programmi\grokster\my grokster\
C:\programmi\grokster\my shared folder\
C:\programmi\icq\shared files\
C:\programmi\KaZaa Lite\My Shared Folder\
C:\programmi\KaZaa\My Shared Folder\
C:\programmi\KMD\my shared folder\
C:\programmi\limeWire\shared\
C:\programmi\Morpheus\my shared folder\
C:\programmi\rapigator\share\
C:\programmi\shareaza\downloads\
C:\Programmi\StreamCast\Morpheus\my shared folder\
C:\shared\
Kalel-B injecte les fichiers ZIP suivants, chacun contenant une copie du ver :
%Windows%\system\rockefeller64.zip
%Windows%\system\rockefeller65.zip
%Windows%\system\rockefeller66.zip
Kalel-B injecte les fichiers suivants, chacun contenant une copie de l'un des fichiers ZIP ci-dessus dans un format uuencoded :
%Windows%\system\rundll16.ref
%Windows%\system\rundll32.ref
%Windows%\system\rundll64.ref
Kalel-B injecte un fichier texte ROCKEFELLER.DAT dans le dossier %Windows%\system. Celui-ci contient le texte suivant :
W32.Rockerfeller@MM+P2P+BACKDOOR+KEYLOGGER
Kalel-B peut aussi créer d'autres fichiers avec les noms suivants :
%Windows%\system\rfdriver32.dll
%Windows%\system\mouse_drv16.ref
%Windows%\system\mouse_drv32.ocx
%Windows%\system\mouse_drv64.dat
Les entrées suivantes du registre sont créées pour exécuter le ver au démarrage :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Service Controller
%Windows%\system\services.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Security Authority Service
%Windows%\system\lsass.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Windows Session Manager Subsystem
%Windows%\system\smss.exe