Kipis

KIPIS, gusano de Correo y P2P desactiva antivirus sobre-escribe el Regedit y Win.ini múltiples estragos.

W32/Kipis@mm, I.worm.kipis@mm

Kipis es un gusano con función de backdoor reportado el 23 de Diciembre del 2004, de propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

También se difunde vía redes Peer to Peer, termina los procesos de la mayoría de antivirus, sobre-escribe el Regedit y Win.ini y recibe instrucciones a través del puerto TCP 1029 desde el cual descarga y ejecuta archivos con códigos malignos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ y no se encuentra comprimido.

El mensaje tiene las siguientes características:

Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a las direcciones de correo del sistema infectado contenidas en la Libreta de Direcciones de Windows (WAB) y en archivos con las siguientes extensiones:

Asunto, uno de los siguientes:

I Love You
Happy New Year
Love

Contenido, uno de los siguientes:

Hello! baby :-)
Server cannot send message.

_____________________________________________
On all questions address in a support service

Adjunto, puede ser uno de extensión .ZIP que contiene una copia ejecutable del gusano, o cualquiera de los siguientes archivos:

your present.scr
foto_03.scr
myfoto_04.scr
trax_06.scr
dom2.scr
foto_05.scr

Al ser ejecutado el archivo crea el mutex "KiPiShx018AxR", para evitar infectar al sistema más de una vez.

Luego el gusano se auto-copia copia a la carpeta %Windir% con el nombre de regedit.com y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = "%Windir%\regedit.com"

Al siguiente re-inicio, el gusano ejecutará regedit.com antes que el verdadero archivo del sistema Regedit.exe, debido a que los archivos con extensión .COM tienen una sola imagen no mayor a 64 KB.

También creará la carpeta:

%Windir%\security

copiándose a la misma con el nombre de Svchost.exe.

invocando al API WritePrivateProfileStringA desde el Kernel32.dll agrega la siguiente ruta al win.ini de la siguiente forma:

[boot]
Shell=Explorer.exe "%Windir%\security\svchost.exe"

debido a que el win.ini no puede ser ejecutado por Windows NT/2000/XP, este cambio será agregado al registro de inicio forzando a que el gusano se active cada vez que se inicie el sistema.

Luego ejecuta una rutina que termina los procesos de la mayoría de antivirus y firewalls.

El gusano crea además el archivo Jpg.bpm en la carpeta %System% el cual contiene la siguiente cadena:

BMD -:+:- zzzzzzzzzzz

al intentar ejecutar este archivo con el mspaint.exe se congela el sistema.

Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, en caso de estar instaladas, y se copia con los siguientes nombres:

Nude Britney Spears.scr
Nude Pic_07.scr
Virtual Girl 2.01.com
KAV Pro 5.xx keygen.com
DrWeb 4.32 keygen.com
WinXP Sp2 key.com

Actuando como Backdoor se conecta al puerto TCP 1029 a través del cual el intruso puede descargar y ejecutar archivos con códigos malignos.

PER ANTIVIRUS® versión 9.0 con registro de virus al 23 de Diciembre del 2004 detecta y elimina eficientemente este gusano/backdoor.