• Lunes 23 de Diciembre de 2024, 05:06

Autor Tema:  Kidala.b  (Leído 1961 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Kidala.b
« en: Miércoles 26 de Abril de 2006, 17:14 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:26-04-2006
Última Actualización:26-04-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kidala.B@MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 3848
Alias:W32.Kidala.B@mm (Symantec)
Detalles
Cuando Worm-Backdoor.W32/Kidala.B@MM es ejecutado, realiza las siguientes acciones:

   1. Se copia a símismo en el fichero '%System%\DS.EXE'.
      <
      Nota: %System% es variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

   2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "DS" = "%System%\DS.EXE"

   3. Recopila direcciones de correo electrónico de la libreta de contactos de Windows y de ficheros que tienen alguna de las siguientes extensiones:
          * .adb
          * .asp
          * .dbx
          * .htm
          * .php
          * .pl
          * .sht
          * .tbb
          * .txt
          * .wab

   4. Genera direcciones de correo electrónico utilizando los siguientes nombres de usuario:
          * alice
          * andrew
          * brenda
          * brent
          * brian
          * claudia
          * david
          * debby
          * george
          * helen
          * james
          * jerry
          * jimmy
          * julie
          * kevin
          * linda
          * maria
          * michael
          * peter
          * robert
          * sandra
          * smith
          * steve

      a los que añade los siguientes dominios para completar la dirección electrónica:
          * ayna.com
          * hotmail.com
          * maktoob.com
          * microsoft.com
          * msn.com
          * usa.com
          * usa.net
          * yahoo.com

   5. Evita enviarse a aquellas direcciones electrónicas que contienen alguna de las siguientes cadenas de texto:
          * abuse
          * accoun
          * acketst
          * admin
          * anyone
          * arin.
          * be_loyal:
          * berkeley
          * borlan
          * certific
          * contact
          * example
          * feste
          * gold-certs
          * google
          * hotmail
          * ibm.com
          * icrosof
          * icrosoft
          * inpris
          * isc.o
          * isi.e
          * kernel
          * linux
          * listserv
          * mit.e
          * mozilla
          * mydomai
          * nobody
          * nodomai
          * noone
          * nothing
          * ntivi
          * panda
          * postmaster
          * privacy
          * rating
          * rfc-ed
          * ripe.
          * ruslis
          * samples
          * secur
          * sendmail
          * service
          * somebody
          * someone
          * sopho
          * submit
          * support
          * tanford.e
          * the.bat
          * usenet
          * utgers.ed
          * webmaster

   6. Se envía a sí mismo a las direcciones capturadas o generadas.

      El mensaje enviado tiene las siguientes características:

      Asunto: - alguno de los siguientes -
          * [- en_blanco -]
          * [- aleatorio -]
          * Error
          * hello
          * Mail Delivery System
          * Mail Transaction Failed
          * Server Report
          * Status

      Cuerpo del mensaje: - alguno de los siguientes -
          * [- en_blanco -]
          * [- aleatorio -]
          * Mail transaction failed. Partial message is available.
          * The message contains Unicode characters and has been sent as a binary attachment.
          * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

      Fichero anexo: - alguno de los siguientes -
          * data
          * doc
          * document
          * file
          * message
          * readme
          * text

      con alguna de las siguientes extensiones:
          * .cmd
          * .scr
          * .bat
          * .exe
          * .pif

   7. Abre una puerta trasera en el equipo afectado conectándose a un servidor de IRC, a un canal llamado '#MicroSystem#' y permaneciendo en escucha de instrucciones.

      Los comandos que recibe normalmente permiten al atacante remoto realizar alguna de las siguientes funciones en el sistema comprometido:
          * Descarga y ejecución de ficheros.
          * Eiminación, detención o actualización del propio gusano.
          * Lanzamiento de ataques de Denegación de Servicios (DoS).

   8. Intenta propagarse a través de IRC enviando un mensaje a todos los usuarios que se unan al canal:

[-alias -] just look at this brother
http://[- dirección IP del remitente -]:2001/Hot.pif

   9. Intentapropagarse a través de la mensajería instantánea de Windows buscando ventanas abiertas de esta aplicación y enviando alguno de los siguientes mensajes:
          * hehe, watch this http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
          * LOL, this shit is funny http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
          * lol, don't forget to watch this video http://[-dirección IP del remitente-]:2001/[-nombre_de_fichero_aleatorio-]|
          * look at this video http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
          * your going to like this :D http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]

      con alguno de los siguientes nombres de fichero:
          * crazy5.scr
          * crazyjump.scr
          * exposed.scr
          * funny2.scr
          * funny3.scr
          * haha.scr
          * lucky.scr
          * mjackson.scr
          * picture1.scr

  10. Se propaga aprovechando las vulnerabilidades indicadas en los siguientes boletines:
          * Boletín de Seguridad MS03-026 ~ (DCOM RPC).
          * Boletín de Seguridad MS04-011.
          * Boletín de Seguridad MS03-007 ~ (ntdll.dll).
          * Boletín de Seguridad MS05-039 ~ (MS Plug & Play).

  11. Intenta propagarse a través de unidades compartidas en red dejando una copia de sí mismo en estas unidades utilizando las siguientes cadenas como nombre de usuario y contraseña:
          * 12345
          * 123456
          * 1234567
          * 12345678
          * 123456789
          * 1234567890
          * 12345678910
          * access
          * accounting
          * accounts
          * Admin
          * Administrador
          * administrat
          * administrateur
          * Administrator
          * Admins
          * backup
          * bitch
          * blank
          * brian
          * changeme
          * chris
          * cisco
          * compaq
          * computer
          * control
          * Database
          * databasepass
          * databasepassword
          * db1234
          * dbpass
          * dbpassword
          * Default
          * domain
          * domainpass
          * domainpassword
          * exchange
          * george
          * guest
          * hello
          * homeuser
          * internet
          * intranet
          * katie
          * linux
          * login
          * loginpass
          * NetWork
          * nokia
          * oeminstall
          * oemuser
          * office
          * oracle
          * orainstall
          * outlook
          * Owner
          * ownerstaff
          * pass1234
          * passwd
          * password
          * password1
          * peter
          * qwerty
          * server
          * siemens
          * sqlpassoainstall
          * Staff
          * Student
          * susan
          * system
          * Teacher
          * technical
          * win2000
          * win2k
          * win98
          * windows
          * winnt
          * winpass
          * winxp
          * wwwadmin

  12. Busca los siguientes directorios:
          * C:\Program Files\eDonkey2000\Incoming
          * C:\Program Files\Files\Kazaa Lite\My Shared Folder
          * C:\program files\kazaa\my shared folder
          * C:\Program Files\LimeWire\Shared
          * C:\Program Files\Morpheus\My Shared Folder

  13. Se copia a sí mismo en los directorios anteriores en caso de que sean encontrados en el sistema.
      Esos directorios se corresponden a directorios de intercambio de ficheros de diferentes aplicaciones P2P, y en función de estos, emplea unos nombres de fichero u otros:

          * Warez P2P:
                o Britney_Spears_sucks_someones_dick.scr
                o Madonna_the_most_sexiest_girl_in_the_world.com
                o Mariah_Carey_showering_in_bathroom.com
                o nice_big_asshole_fuck_Jennifer_Lopez.scr

          * Limewire:
                o Alcohol_120%_patch
                o DarkAngel_Lady_get_fucked_so_hardly
                o LimeWire_speed++
                o Outlook_hotmail+_fix

          * eDonkey:
                o Angilina_Jolie_Sucks_a_Dick
                o BritneySpears_SoSexy
                o DAP7.4.x.x_crack
                o DownloadsLocation
                o JenniferLopez_Film_Sexy_Enough
                o NortonAV2006_Crack

          * iMesh:
                o KAV2006_Crack
                o MSN7.0Loader
                o MSN7.0UniversalPatch
                o YahooMessenger_Loader
                o ZoneAlarmPro6.xx_Crack

          * Morpheus:
                o lcc-wiz_update
                o notepad++
                o Opera8
                o RealPlayer10.xx_crack
                o TaskCatcher

          * KaZaa:
                o activation_crack
                o dcom_patch
                o icq2006-final
                o nuke2006
                o office_crack
                o rootkitXP
                o strip-girl-3.0
                o winamp6

      Todos estos ficheros tendrán alguna de las siguientes extensiones:
          * .bat
          * .exe
          * .pif
          * .scr

  14. Detiene la ejecución de los siguientes procesos, algunos de los cuales son relativos a la seguridad:
          * _AVPCC.EXE
          * _AVPM.EXE
          * _FINDVIRU.EXE
          * ACKWIN32.EXE
          * ALOGSERV.EXE
          * AMON.EXE
          * ANTI-TROJAN.EXE
          * APVXDWIN.EXE
          * ATGUARD.EXE
          * AVE32.EXE
          * AVKSERV.EXE
          * AVNT.EXE
          * AVPCC.EXE
          * AVPM.EXE
          * AVWIN95.EXE
          * BLACKICE.EXE
          * CLAW95CF.EXE
          * CMGRDIAN.EXE
          * ECENGINE.EXE
          * ESAFE.EXE
          * F-PROT95.EXE
          * FINDVIRU.EXE
          * FP-WIN.EXE
          * FPROT.EXE
          * GUARDDOG.EXE
          * IAMAPP.EXE
          * IOMON98.EXE
          * KAVPF.EXE
          * LOOKOUT.EXE
          * NAVAPSVC.EXE
          * NAVAPW32.EXE
          * NAVNT.EXE
          * NAVW32.EXE
          * NAVWNT.EXE
          * NOD32.EXE
          * NSPLUGIN.EXE
          * OGRC.EXE
          * OUTPOST.EXE
          * OUTPOSTINSTALL.EXE
          * OUTPOSTPROINSTALL.EXE
          * RAV7.EXE
          * RULAUNCH.EXE
          * SCAN32.EXE
          * SPIDER.EXE
          * VET95.EXE
          * VETTRAY.EXE
          * VSMAIN.EXE
          * ZAPRO.EXE
          * ZAPSETUP3001.EXE
          * ZATUTOR.EXE
          * ZONALARM.EXE
          * ZONALM2601.EXE
          * ZONEALARM.EXE

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * text
    * readme
    * message
    * file
    * document
    * doc
    * data

Asunto del mensaje (virus que llegan por correo)

    * Status
    * Server Report
    * Mail Transaction Failed
    * Mail Delivery System
    * hello
    * Error
    * [- aleatorio -]
    * [- en_blanco -]
El pasado son solo recuerdos, el futuro son solo sueños