SoloCodigo

Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Lunes 24 de Abril de 2006, 16:44

Título: Kidala
Publicado por: RadicalEd en Lunes 24 de Abril de 2006, 16:44: Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:24-04-2006
Última Actualización:24-04-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kidala@MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32.Kidala.A@mm (Symantec)
Detalles

Una vez ejecutado realiza las siguientes acciones:

1. Se copia a si mismo en:
* %System%\win24.exe

Nota: %system% representa la carpeta de sistema de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
2. Para ejecutarse al inicio del sistema añade la siguiente entrada en el registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"win24" = "%System%\win24.exe"

3. Recopila direcciones de correo electrónico de la Libreta de direcciones de Windows. Además, genera direcciones usando nombres y dominios de la siguiente lista:
* Nombres:
o linda
o julie
o jimmy
o jerry
o helen
o debby
o claudia
o brenda
o anna
o alice
o brent
o adam
o ted
o fred
o jack
o bill
o stan
o smith
o steve
o matt
o dave
o dan
o joe
o jane
o bob
o robert
o peter
o tom
o ray
o mary
o serg
o brian
o jim
o maria
o leo
o jose
o andrew
o sam
o george
o david
o kevin
o mike
o james
o michael
o alex
o john

* Dominios:
o hotmail.com
o yahoo.com
o msn.com
o aol.com
No se mandará a si mismo a las direcciones que contengan alguna de las siguientes cadenas:
o sandra
o linda
o julie
o jimmy
o jerry
o helen
o debby
o claudia
o brenda
o anna
o alice
o brent
o adam
o .edu
o abuse
o www
o fcnz
o spm
o accoun
o certific
o listserv
o ntivi
o support
o icrosoft
o admin
o page
o the.bat
o gold-certs
o feste
o submit
o not
o help
o service
o privacy
o somebody
o soft
o contact
o site
o rating
o bugs
o you
o your
o someone
o anyone
o nothing
o nobody
o noone
o webmaster
o postmaster
o samples
o info
o root
o be_loyal:
o mozilla
o utgers.ed
o tanford.e
o pgp
o acketst
o secur
o isc.o
o isi.e
o ripe.
o arin.
o sendmail
o rfc-ed
o ietf
o iana
o usenet
o fido
o linux
o kernel
o google
o ibm.com
o fsf.
o gnu
o mit.e
o bsd
o math
o unix
o berkeley
o foo.
o .mil
o gov.
o .gov
o ruslis
o nodomai
o mydomai
o example
o inpris
o borlan
o sopho
o panda
o hotmail
o msn.
o icrosof
o syma
o avp
4. Revisa la siguiente clave del registro en busca de servidores SMTP disponibles:

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts

Si no encontrara ningún servidor SMTP, intentará localizar uno anexando una de las siguientes cadenas al nombre de dominio de las direcciones de correo recopiladas:
* gate
* ns
* relay
* mail1
* mxs
* mx1
* smtp
* mail
* mx
5. Se envia a si mismo a todas las direciones de correo recopiladas, con las siguientes caracteristicas:
* Asunto:
o [BLANCO]
o [ALEATORIO]
o Error
o Status
o Server Report
o Mail Transaction Failed
o Mail Delivery System
o hello
o hi
* Mensaje:
o [BLANCO]
o [ALEATORIO]
o Mail transaction failed. Partial message is available.
o The message contains Unicode characters and has been sent as a binary attachment.
o The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
o test
* Adjunto:
o body
o message
o test
o data
o file
o text
o doc
o readme
o document con alguna de las siguientes extensiones
o .bat
o .cmd
o .exe
o .scr
o .pif
6. Abre una puerta trasera conectándose a un servidor de IRC a la espera de comando a ejecutar, permitiendo así, realizar alguna de las siguientes acciones:
* Descargar ficheros.
* Borrar o modificar una copia de si mismo.
* Realizar ataques de denegación de servicio.
7. Se propaga también mediante el uso de mensajeria instantanea. Busca una ventana de algun programa de mensajeria y envia uno de los siguientes mensajes:
* look at this video [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
* hehe, watch this [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
* your going to like this :D [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
* lol, don't forget to watch this video [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
* LOL, this shit is funny [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO] [NOMBRE DE FICHERO ALEATORIO] puede ser:
* crazy5.scr
* exposed.scr
* funny2.scr
* funny1.scr
* haha.scr
* picture1.scr
* mjackson.scr
* lucky.scr
* crazyjump.scr
* funny3.scr
8. Se propaga explotando vulnerabilidades documentadas en los siguientes boletines de Microsoft:
* Microsoft Security Bulletin MS03-026
* Microsoft Security Bulletin MS03-007
* Microsoft Security Bulletin MS03-049
* Microsoft Security Bulletin MS05-039
* Microsoft Security Bulletin MS01-059
* Microsoft Security Bulletin MS04-011
* DameWare Mini Remote Control Server Pre-Authentication Buffer Overflow
9. Se propaga por recursos compartidos, incluyendo IPC$, usando los siguientes usuarios y contraseñas para conectarse:
* network
* NetWork
* net
* Net
* User
* Db2
* Oracle
* Dba
* Database
* Default
* Guest
* Wwwadmin
* Teacher
* Student
* Computer
* Root
* Staff
* Owner
* Admin
* Admins
* Administrat
* Administrateur
* Administrador
* Administrator
* dba
* wwwadmin
* owner
* computer
* ownerstaff
* staff
* teacher
* student
* intranet
* lan
* main
* winpass
* blank
* office
* control
* nokia
* siemens
* compaq
* dell
* cisco
* ibm
* oracle
* orainstall
* sqlpassoainstall
* sql
* db1234
* db2
* db1
* databasepassword
* data
* databasepass
* dbpassword
* dbpass
* access
* database
* domainpassword
* domainpass
* domain
* hello
* hell
* god
* sex
* slut
* bitch
* fuck
* exchange
* backup
* technical
* loginpass
* login
* mary
* katie
* kate
* george
* eric
* chris
* ian
* neil
* lee
* brian
* susan
* sue
* sam
* luke
* peter
* john
* mike
* bill
* fred
* joe
* jen
* bob
* qwe
* zxc
* asd
* qaz
* win2000
* winnt
* winxp
* win2k
* win98
* windows
* oeminstall
* oemuser
* oem
* user
* homeuser
* home
* accounting
* accounts
* internet
* www
* web
* outlook
* mail
* qwerty
* null
* root
* server
* system
* default
* changeme
* linux
* unix
* demo
* none
* guest
* test
* 2004
* 2003
* 2002
* 2001
* 2000
* 12345678910
* 1234567890
* 123456789
* 12345678
* 1234567
* 123456
* 12345
* 1234
* 123
* 7
* 0
* pwd
* pass
* pass1234
* passwd
* password
* password1
* adm
* admin
* admins
* administrat
* administrateur
* administrador
* administrator
10. Busca en los siguientes directorios:
* C:\Program Files\LimeWire\Shared
* C:\Program Files\eDonkey2000\incoming
11. Se copia en elguno de los siguientes directorios, dependiendo del cliente usado:
* Warez P2P:
o nice_big_asshole_fuck_Jennifer_Lopez.scr
o Madonna_the_most_sexiest_girl_in_the_world.com
o Britney_Spears_sucks_someones_dick.scr
o Mariah_Carey_showering_in_bathroom.com
* LimeWire:
o Alcohol_120%%_patch
o Outlook_hotmail+_fix
o LimeWire_speed++
o DarkAngel_Lady_get_fucked_so_hardly
* eDonkey:
o Angilina_Jolie_Sucks_a_Dick
o JenniferLopez_Film_Sexy_Enough
o BritneySpears_SoSexy
o DAP7.4.x.x_crack
o NortonAV2006_Crack
o DownloadsLocation
* iMesh:
o YahooMessenger_Loader
o MSN7.0UniversalPatch
o MSN7.0Loader
o KAV2006_Crack
o ZoneAlarmPro6.xx_Crack
* Morpheus:
o TaskCatcher
o Opera8
o notepad++
o lcc-win32_update
o RealPlayerv10.xx_crack
* Kazaa:
o nuke2006
o office_crack
o rootkitXP
o dcom_patch
o strip-girl-3.0
o activation_crack
o icq2006-final
o winamp6
12. Finaliza lso siguientes procesos, algunos de ellos relacionados con aplicaciones de seguridad:
* AVPCC.EXE
* AVKSERV.EXE
* ECENGINE.EXE
* FP-WIN.EXE
* VETTRAY.EXE
* ACKWIN32.EXE
* AVNT.EXE
* ESAFE.EXE
* FPROT.EXE
* F-PROT95.EXE
* IOMON98.EXE
* AVWIN95.EXE
* AVE32.EXE
* ANTI-TROJAN.EXE
* _AVPCC.EXE
* APVXDWIN.EXE
* CLAW95CF.EXE
* _FINDVIRU.EXE
* FINDVIRU.EXE
* NAVNT.EXE
* VET95.EXE
* SCAN32.EXE
* RAV7.EXE
* NAVAPW32.EXE
* VSMAIN.EXE
* GUARDDOG.EXE
* RULAUNCH.EXE
* ALOGSERV.EXE
* OGRC.EXE
* NAVAPSVC.EXE
* NSPLUGIN.EXE
* NOD32.EXE
* _AVPM.EXE
* AMON.EXE
* NAVWNT.EXE
* NAVW32.EXE
* SPIDER.EXE
* AVPM.EXE
* ATGUARD.EXE
* KAVPF.EXE
* BLACKICE.EXE
* LOOKOUT.EXE
* CMGRDIAN.EXE
* IAMAPP.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* ZONEALARM.EXE
* ZONALM2601.EXE
* ZATUTOR.EXE
* ZAPSETUP3001.EXE
* ZAPRO.EXE
* OUTPOSTPROINSTALL.EXE
* ZONALARM.EXE
Título: Re: Kidala
Publicado por: x.cyclop en Lunes 24 de Abril de 2006, 18:33: Faltó agregar algo: Solo le entra a los idiotas que bajan todo y tienen una protección horible.