SoloCodigo

Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Lunes 24 de Abril de 2006, 16:44

Título: Kidala
Publicado por: RadicalEd en Lunes 24 de Abril de 2006, 16:44
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:24-04-2006
Última Actualización:24-04-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kidala@MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32.Kidala.A@mm (Symantec)
Detalles

Una vez ejecutado realiza las siguientes acciones:

   1. Se copia a si mismo en:
          * %System%\win24.exe

      Nota: %system% representa la carpeta de sistema de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
   2. Para ejecutarse al inicio del sistema añade la siguiente entrada en el registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"win24" = "%System%\win24.exe"

   3. Recopila direcciones de correo electrónico de la Libreta de direcciones de Windows. Además, genera direcciones usando nombres y dominios de la siguiente lista:
          * Nombres:
                o linda
                o julie
                o jimmy
                o jerry
                o helen
                o debby
                o claudia
                o brenda
                o anna
                o alice
                o brent
                o adam
                o ted
                o fred
                o jack
                o bill
                o stan
                o smith
                o steve
                o matt
                o dave
                o dan
                o joe
                o jane
                o bob
                o robert
                o peter
                o tom
                o ray
                o mary
                o serg
                o brian
                o jim
                o maria
                o leo
                o jose
                o andrew
                o sam
                o george
                o david
                o kevin
                o mike
                o james
                o michael
                o alex
                o john

          * Dominios:
                o hotmail.com
                o yahoo.com
                o msn.com
                o aol.com
            No se mandará a si mismo a las direcciones que contengan alguna de las siguientes cadenas:
                o sandra
                o linda
                o julie
                o jimmy
                o jerry
                o helen
                o debby
                o claudia
                o brenda
                o anna
                o alice
                o brent
                o adam
                o .edu
                o abuse
                o www
                o fcnz
                o spm
                o accoun
                o certific
                o listserv
                o ntivi
                o support
                o icrosoft
                o admin
                o page
                o the.bat
                o gold-certs
                o feste
                o submit
                o not
                o help
                o service
                o privacy
                o somebody
                o soft
                o contact
                o site
                o rating
                o bugs
                o you
                o your
                o someone
                o anyone
                o nothing
                o nobody
                o noone
                o webmaster
                o postmaster
                o samples
                o info
                o root
                o be_loyal:
                o mozilla
                o utgers.ed
                o tanford.e
                o pgp
                o acketst
                o secur
                o isc.o
                o isi.e
                o ripe.
                o arin.
                o sendmail
                o rfc-ed
                o ietf
                o iana
                o usenet
                o fido
                o linux
                o kernel
                o google
                o ibm.com
                o fsf.
                o gnu
                o mit.e
                o bsd
                o math
                o unix
                o berkeley
                o foo.
                o .mil
                o gov.
                o .gov
                o ruslis
                o nodomai
                o mydomai
                o example
                o inpris
                o borlan
                o sopho
                o panda
                o hotmail
                o msn.
                o icrosof
                o syma
                o avp
   4. Revisa la siguiente clave del registro en busca de servidores SMTP disponibles:

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts

      Si no encontrara ningún servidor SMTP, intentará localizar uno anexando una de las siguientes cadenas al nombre de dominio de las direcciones de correo recopiladas:
          * gate
          * ns
          * relay
          * mail1
          * mxs
          * mx1
          * smtp
          * mail
          * mx
   5. Se envia a si mismo a todas las direciones de correo recopiladas, con las siguientes caracteristicas:
          * Asunto:
                o [BLANCO]
                o [ALEATORIO]
                o Error
                o Status
                o Server Report
                o Mail Transaction Failed
                o Mail Delivery System
                o hello
                o hi
          * Mensaje:
                o [BLANCO]
                o [ALEATORIO]
                o Mail transaction failed. Partial message is available.
                o The message contains Unicode characters and has been sent as a binary attachment.
                o The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
                o test
          * Adjunto:
                o body
                o message
                o test
                o data
                o file
                o text
                o doc
                o readme
                o document con alguna de las siguientes extensiones
                o .bat
                o .cmd
                o .exe
                o .scr
                o .pif
   6. Abre una puerta trasera conectándose a un servidor de IRC a la espera de comando a ejecutar, permitiendo así, realizar alguna de las siguientes acciones:
          * Descargar ficheros.
          * Borrar o modificar una copia de si mismo.
          * Realizar ataques de denegación de servicio.
   7. Se propaga también mediante el uso de mensajeria instantanea. Busca una ventana de algun programa de mensajeria y envia uno de los siguientes mensajes:
          * look at this video [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
          * hehe, watch this [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
          * your going to like this :D [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
          * lol, don't forget to watch this video [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO]
          * LOL, this shit is funny [http://][DIRECCION IP DEL REMITENTE]:2001/[NOMBRE DE FICHERO ALEATORIO] [NOMBRE DE FICHERO ALEATORIO] puede ser:
          * crazy5.scr
          * exposed.scr
          * funny2.scr
          * funny1.scr
          * haha.scr
          * picture1.scr
          * mjackson.scr
          * lucky.scr
          * crazyjump.scr
          * funny3.scr
   8. Se propaga explotando vulnerabilidades documentadas en los siguientes boletines de Microsoft:
          * Microsoft Security Bulletin MS03-026
          * Microsoft Security Bulletin MS03-007
          * Microsoft Security Bulletin MS03-049
          * Microsoft Security Bulletin MS05-039
          * Microsoft Security Bulletin MS01-059
          * Microsoft Security Bulletin MS04-011
          * DameWare Mini Remote Control Server Pre-Authentication Buffer Overflow
   9. Se propaga por recursos compartidos, incluyendo IPC$, usando los siguientes usuarios y contraseñas para conectarse:
          * network
          * NetWork
          * net
          * Net
          * User
          * Db2
          * Oracle
          * Dba
          * Database
          * Default
          * Guest
          * Wwwadmin
          * Teacher
          * Student
          * Computer
          * Root
          * Staff
          * Owner
          * Admin
          * Admins
          * Administrat
          * Administrateur
          * Administrador
          * Administrator
          * dba
          * wwwadmin
          * owner
          * computer
          * ownerstaff
          * staff
          * teacher
          * student
          * intranet
          * lan
          * main
          * winpass
          * blank
          * office
          * control
          * nokia
          * siemens
          * compaq
          * dell
          * cisco
          * ibm
          * oracle
          * orainstall
          * sqlpassoainstall
          * sql
          * db1234
          * db2
          * db1
          * databasepassword
          * data
          * databasepass
          * dbpassword
          * dbpass
          * access
          * database
          * domainpassword
          * domainpass
          * domain
          * hello
          * hell
          * god
          * sex
          * slut
          * bitch
          * fuck
          * exchange
          * backup
          * technical
          * loginpass
          * login
          * mary
          * katie
          * kate
          * george
          * eric
          * chris
          * ian
          * neil
          * lee
          * brian
          * susan
          * sue
          * sam
          * luke
          * peter
          * john
          * mike
          * bill
          * fred
          * joe
          * jen
          * bob
          * qwe
          * zxc
          * asd
          * qaz
          * win2000
          * winnt
          * winxp
          * win2k
          * win98
          * windows
          * oeminstall
          * oemuser
          * oem
          * user
          * homeuser
          * home
          * accounting
          * accounts
          * internet
          * www
          * web
          * outlook
          * mail
          * qwerty
          * null
          * root
          * server
          * system
          * default
          * changeme
          * linux
          * unix
          * demo
          * none
          * guest
          * test
          * 2004
          * 2003
          * 2002
          * 2001
          * 2000
          * 12345678910
          * 1234567890
          * 123456789
          * 12345678
          * 1234567
          * 123456
          * 12345
          * 1234
          * 123
          * 7
          * 0
          * pwd
          * pass
          * pass1234
          * passwd
          * password
          * password1
          * adm
          * admin
          * admins
          * administrat
          * administrateur
          * administrador
          * administrator
  10. Busca en los siguientes directorios:
          * C:\Program Files\LimeWire\Shared
          * C:\Program Files\eDonkey2000\incoming
  11. Se copia en elguno de los siguientes directorios, dependiendo del cliente usado:
          * Warez P2P:
                o nice_big_asshole_fuck_Jennifer_Lopez.scr
                o Madonna_the_most_sexiest_girl_in_the_world.com
                o Britney_Spears_sucks_someones_dick.scr
                o Mariah_Carey_showering_in_bathroom.com
          * LimeWire:
                o Alcohol_120%%_patch
                o Outlook_hotmail+_fix
                o LimeWire_speed++
                o DarkAngel_Lady_get_fucked_so_hardly
          * eDonkey:
                o Angilina_Jolie_Sucks_a_Dick
                o JenniferLopez_Film_Sexy_Enough
                o BritneySpears_SoSexy
                o DAP7.4.x.x_crack
                o NortonAV2006_Crack
                o DownloadsLocation
          * iMesh:
                o YahooMessenger_Loader
                o MSN7.0UniversalPatch
                o MSN7.0Loader
                o KAV2006_Crack
                o ZoneAlarmPro6.xx_Crack
          * Morpheus:
                o TaskCatcher
                o Opera8
                o notepad++
                o lcc-win32_update
                o RealPlayerv10.xx_crack
          * Kazaa:
                o nuke2006
                o office_crack
                o rootkitXP
                o dcom_patch
                o strip-girl-3.0
                o activation_crack
                o icq2006-final
                o winamp6
  12. Finaliza lso siguientes procesos, algunos de ellos relacionados con aplicaciones de seguridad:
          * AVPCC.EXE
          * AVKSERV.EXE
          * ECENGINE.EXE
          * FP-WIN.EXE
          * VETTRAY.EXE
          * ACKWIN32.EXE
          * AVNT.EXE
          * ESAFE.EXE
          * FPROT.EXE
          * F-PROT95.EXE
          * IOMON98.EXE
          * AVWIN95.EXE
          * AVE32.EXE
          * ANTI-TROJAN.EXE
          * _AVPCC.EXE
          * APVXDWIN.EXE
          * CLAW95CF.EXE
          * _FINDVIRU.EXE
          * FINDVIRU.EXE
          * NAVNT.EXE
          * VET95.EXE
          * SCAN32.EXE
          * RAV7.EXE
          * NAVAPW32.EXE
          * VSMAIN.EXE
          * GUARDDOG.EXE
          * RULAUNCH.EXE
          * ALOGSERV.EXE
          * OGRC.EXE
          * NAVAPSVC.EXE
          * NSPLUGIN.EXE
          * NOD32.EXE
          * _AVPM.EXE
          * AMON.EXE
          * NAVWNT.EXE
          * NAVW32.EXE
          * SPIDER.EXE
          * AVPM.EXE
          * ATGUARD.EXE
          * KAVPF.EXE
          * BLACKICE.EXE
          * LOOKOUT.EXE
          * CMGRDIAN.EXE
          * IAMAPP.EXE
          * OUTPOST.EXE
          * OUTPOSTINSTALL.EXE
          * ZONEALARM.EXE
          * ZONALM2601.EXE
          * ZATUTOR.EXE
          * ZAPSETUP3001.EXE
          * ZAPRO.EXE
          * OUTPOSTPROINSTALL.EXE
          * ZONALARM.EXE
Título: Re: Kidala
Publicado por: x.cyclop en Lunes 24 de Abril de 2006, 18:33
Faltó agregar algo: Solo le entra a los idiotas que bajan todo y tienen una protección horible.