SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Miércoles 26 de Abril de 2006, 17:14
-
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:26-04-2006
Última Actualización:26-04-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kidala.B@MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 3848
Alias:W32.Kidala.B@mm (Symantec)
Detalles
Cuando Worm-Backdoor.W32/Kidala.B@MM es ejecutado, realiza las siguientes acciones:
1. Se copia a símismo en el fichero '%System%\DS.EXE'.
<
Nota: %System% es variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "DS" = "%System%\DS.EXE"
3. Recopila direcciones de correo electrónico de la libreta de contactos de Windows y de ficheros que tienen alguna de las siguientes extensiones:
* .adb
* .asp
* .dbx
* .htm
* .php
* .pl
* .sht
* .tbb
* .txt
* .wab
4. Genera direcciones de correo electrónico utilizando los siguientes nombres de usuario:
* alice
* andrew
* brenda
* brent
* brian
* claudia
* david
* debby
* george
* helen
* james
* jerry
* jimmy
* julie
* kevin
* linda
* maria
* michael
* peter
* robert
* sandra
* smith
* steve
a los que añade los siguientes dominios para completar la dirección electrónica:
* ayna.com
* hotmail.com
* maktoob.com
* microsoft.com
* msn.com
* usa.com
* usa.net
* yahoo.com
5. Evita enviarse a aquellas direcciones electrónicas que contienen alguna de las siguientes cadenas de texto:
* abuse
* accoun
* acketst
* admin
* anyone
* arin.
* be_loyal:
* berkeley
* borlan
* certific
* contact
* example
* feste
* gold-certs
* google
* hotmail
* ibm.com
* icrosof
* icrosoft
* inpris
* isc.o
* isi.e
* kernel
* linux
* listserv
* mit.e
* mozilla
* mydomai
* nobody
* nodomai
* noone
* nothing
* ntivi
* panda
* postmaster
* privacy
* rating
* rfc-ed
* ripe.
* ruslis
* samples
* secur
* sendmail
* service
* somebody
* someone
* sopho
* submit
* support
* tanford.e
* the.bat
* usenet
* utgers.ed
* webmaster
6. Se envía a sí mismo a las direcciones capturadas o generadas.
El mensaje enviado tiene las siguientes características:
Asunto: - alguno de los siguientes -
* [- en_blanco -]
* [- aleatorio -]
* Error
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
Cuerpo del mensaje: - alguno de los siguientes -
* [- en_blanco -]
* [- aleatorio -]
* Mail transaction failed. Partial message is available.
* The message contains Unicode characters and has been sent as a binary attachment.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Fichero anexo: - alguno de los siguientes -
* data
* doc
* document
* file
* message
* readme
* text
con alguna de las siguientes extensiones:
* .cmd
* .scr
* .bat
* .exe
* .pif
7. Abre una puerta trasera en el equipo afectado conectándose a un servidor de IRC, a un canal llamado '#MicroSystem#' y permaneciendo en escucha de instrucciones.
Los comandos que recibe normalmente permiten al atacante remoto realizar alguna de las siguientes funciones en el sistema comprometido:
* Descarga y ejecución de ficheros.
* Eiminación, detención o actualización del propio gusano.
* Lanzamiento de ataques de Denegación de Servicios (DoS).
8. Intenta propagarse a través de IRC enviando un mensaje a todos los usuarios que se unan al canal:
[-alias -] just look at this brother
http://[- dirección IP del remitente -]:2001/Hot.pif
9. Intentapropagarse a través de la mensajería instantánea de Windows buscando ventanas abiertas de esta aplicación y enviando alguno de los siguientes mensajes:
* hehe, watch this http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
* LOL, this shit is funny http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
* lol, don't forget to watch this video http://[-dirección IP del remitente-]:2001/[-nombre_de_fichero_aleatorio-]|
* look at this video http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
* your going to like this :D http://[- dirección IP del remitente -]:2001/[- nombre_de_fichero_aleatorio -]
con alguno de los siguientes nombres de fichero:
* crazy5.scr
* crazyjump.scr
* exposed.scr
* funny2.scr
* funny3.scr
* haha.scr
* lucky.scr
* mjackson.scr
* picture1.scr
10. Se propaga aprovechando las vulnerabilidades indicadas en los siguientes boletines:
* Boletín de Seguridad MS03-026 ~ (DCOM RPC).
* Boletín de Seguridad MS04-011.
* Boletín de Seguridad MS03-007 ~ (ntdll.dll).
* Boletín de Seguridad MS05-039 ~ (MS Plug & Play).
11. Intenta propagarse a través de unidades compartidas en red dejando una copia de sí mismo en estas unidades utilizando las siguientes cadenas como nombre de usuario y contraseña:
* 12345
* 123456
* 1234567
* 12345678
* 123456789
* 1234567890
* 12345678910
* access
* accounting
* accounts
* Admin
* Administrador
* administrat
* administrateur
* Administrator
* Admins
* backup
* bitch
* blank
* brian
* changeme
* chris
* cisco
* compaq
* computer
* control
* Database
* databasepass
* databasepassword
* db1234
* dbpass
* dbpassword
* Default
* domain
* domainpass
* domainpassword
* exchange
* george
* guest
* hello
* homeuser
* internet
* intranet
* katie
* linux
* login
* loginpass
* NetWork
* nokia
* oeminstall
* oemuser
* office
* oracle
* orainstall
* outlook
* Owner
* ownerstaff
* pass1234
* passwd
* password
* password1
* peter
* qwerty
* server
* siemens
* sqlpassoainstall
* Staff
* Student
* susan
* system
* Teacher
* technical
* win2000
* win2k
* win98
* windows
* winnt
* winpass
* winxp
* wwwadmin
12. Busca los siguientes directorios:
* C:\Program Files\eDonkey2000\Incoming
* C:\Program Files\Files\Kazaa Lite\My Shared Folder
* C:\program files\kazaa\my shared folder
* C:\Program Files\LimeWire\Shared
* C:\Program Files\Morpheus\My Shared Folder
13. Se copia a sí mismo en los directorios anteriores en caso de que sean encontrados en el sistema.
Esos directorios se corresponden a directorios de intercambio de ficheros de diferentes aplicaciones P2P, y en función de estos, emplea unos nombres de fichero u otros:
* Warez P2P:
o Britney_Spears_sucks_someones_dick.scr
o Madonna_the_most_sexiest_girl_in_the_world.com
o Mariah_Carey_showering_in_bathroom.com
o nice_big_asshole_fuck_Jennifer_Lopez.scr
* Limewire:
o Alcohol_120%_patch
o DarkAngel_Lady_get_fucked_so_hardly
o LimeWire_speed++
o Outlook_hotmail+_fix
* eDonkey:
o Angilina_Jolie_Sucks_a_Dick
o BritneySpears_SoSexy
o DAP7.4.x.x_crack
o DownloadsLocation
o JenniferLopez_Film_Sexy_Enough
o NortonAV2006_Crack
* iMesh:
o KAV2006_Crack
o MSN7.0Loader
o MSN7.0UniversalPatch
o YahooMessenger_Loader
o ZoneAlarmPro6.xx_Crack
* Morpheus:
o lcc-wiz_update
o notepad++
o Opera8
o RealPlayer10.xx_crack
o TaskCatcher
* KaZaa:
o activation_crack
o dcom_patch
o icq2006-final
o nuke2006
o office_crack
o rootkitXP
o strip-girl-3.0
o winamp6
Todos estos ficheros tendrán alguna de las siguientes extensiones:
* .bat
* .exe
* .pif
* .scr
14. Detiene la ejecución de los siguientes procesos, algunos de los cuales son relativos a la seguridad:
* _AVPCC.EXE
* _AVPM.EXE
* _FINDVIRU.EXE
* ACKWIN32.EXE
* ALOGSERV.EXE
* AMON.EXE
* ANTI-TROJAN.EXE
* APVXDWIN.EXE
* ATGUARD.EXE
* AVE32.EXE
* AVKSERV.EXE
* AVNT.EXE
* AVPCC.EXE
* AVPM.EXE
* AVWIN95.EXE
* BLACKICE.EXE
* CLAW95CF.EXE
* CMGRDIAN.EXE
* ECENGINE.EXE
* ESAFE.EXE
* F-PROT95.EXE
* FINDVIRU.EXE
* FP-WIN.EXE
* FPROT.EXE
* GUARDDOG.EXE
* IAMAPP.EXE
* IOMON98.EXE
* KAVPF.EXE
* LOOKOUT.EXE
* NAVAPSVC.EXE
* NAVAPW32.EXE
* NAVNT.EXE
* NAVW32.EXE
* NAVWNT.EXE
* NOD32.EXE
* NSPLUGIN.EXE
* OGRC.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* OUTPOSTPROINSTALL.EXE
* RAV7.EXE
* RULAUNCH.EXE
* SCAN32.EXE
* SPIDER.EXE
* VET95.EXE
* VETTRAY.EXE
* VSMAIN.EXE
* ZAPRO.EXE
* ZAPSETUP3001.EXE
* ZATUTOR.EXE
* ZONALARM.EXE
* ZONALM2601.EXE
* ZONEALARM.EXE
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* text
* readme
* message
* file
* document
* doc
* data
Asunto del mensaje (virus que llegan por correo)
* Status
* Server Report
* Mail Transaction Failed
* Mail Delivery System
* hello
* Error
* [- aleatorio -]
* [- en_blanco -]