Kipis.O

KIPIS.O gusano de Correo y Peer to Peer invoca además servidores MS Exchange para continuar infectando.

W32/KIPIS.O@mm, I.worm.kipis.O@mm

Kipis.O es un gusano reportado el 25 de Febrero del 2005, de propagación masiva a través de mensajes de Correo con remitentes disfrazados bajo la técnica Spoofing, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Se propaga además a través de diversas redes Peer to Peer.

Invoca también a los servidores MS Exchange de las direcciones capturadas, agregándoles ciertas cadenas y los utiliza como "Relay" para continuar infectando.

Al ser ejecutado muestra un archivo *.TXT con caracteres "basura" abierto con el NotePad.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 12 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de MS Outlook o de los archivos con las siguientes extensiones:

adb

asp

dbx

doc

eml

fpt

htm

html

inb

mbx

oft

pab

php

pmr

sht

tbb

txt

uin

xls

evita enviarse a las direcciones con las siguientes cadenas:

abuse
accoun
admin
alarm
antivir
apvxdwin.
avmon
bitdefen
blackd.
blackice
borlan
bscan
cafee
ccapp.
cfiaudi
contact
defwatch.
drweb
e-trust-
escanhnt.
f-prot
fiaudit.
google
guard.
icrosoft
icssupp
iruslis
kaspersk
kerio
klamav
listserv
luall.
lucoms~
mailer
maniac.
mcafee
mcagent.
messagelab
mydomai
newviru
nisum.
nod32
nopdb.
norman
panda
podpiska
postmaster
privacy
protect
rating
register
rewall
rising
sales
secure
sendmail
service
software.
sopho
sphinx.
spidern
support
sybari
symante
symantec
synmgr.
taumon
update
upgrade
virus
vsstat.
vstskmgr.
webmaster
winit.
winrar
winzip

El mensaje tiene las siguientes características:

Remitente, emplea la técnica Email spoofing o usa aleatoriamente los buzones extraídos del sistema.

Asunto, aleatoriamente uno de los siguientes:

details_txt
Forum notify
Fw: chat
Marihuana
Message
Re: crack
Re: forum
Re: Site password
word_pad

Contenido, uno de los siguientes:

I Like You ;)
information
Marihuana have legalized!!!
readme
Thank you!

Anexado, uno de los siguientes:

your document
your message

Con una de las siguientes extensiones:

Al ser ejecutado muestra un archivo *.TXT con caracteres "basura" abierto con el NotePad:

y se copia a las siguientes rutas con los nombres de:

%System%\1032\SVCHOST.EXE
%Windir%\REGEDIT.COM

libera además a la carpeta %System% el archivo MSVC50B.ZIP que es una copia comprimida del gusano.

para ejecutarse la próxima vez que se re-inicie el sistema en Windows NT/2000/XP modifica el vínculo Explorer shell en la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\1032\svchost.exe"

En Windows 95/98/Me modifica el SYSTEM.INI:

SYSTEM.INI
[windows]
Shell = "Explorer.exe %System%\1032\svchost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

luego invoca a los servidores MS Exchange de las direcciones capturadas, agregándoles las siguientes cadenas:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

por ejemplo, al obtener la dirección soporte@midominio.com, el gusano invoca a los siguientes servidores:

gate.midominio.com
mail.midominio.com
mail1.midominio.com
mx.midominio.com
mx1.midominio.com
mxs.midominio.com
ns.midominio.com
relay.midominio.com
smtp.midominio.com

y de encontrarlos disponibles los usará como "relay" para continuar propagándose.

Para difundirse vía Peer to Peer busca las carpetas que tengan la cadena "Sh" o "share" que corresponden por lo general a Kazaa, Morpheus, iMesh, eDonkey, LimeWire, etc. y se copia a las mismas con los nombres:

Ahead nero 9.exe
ICQ Longhorn new! .exe
IE 6.0 exploit(src).exe
Jpeg exploit(source).c.exe
Kaspersky Antivirus(crack for all version).exe
MS Office crack.exe
RPC DCOM exploit new!(Win 2000/XP sp0,sp1,sp2/2003).cpp.exe
Windows 2000(source).c.exe
Windows 2003 crack.exe
Worm.Beagle source.doc.exe

PER ANTIVIRUS® versión 9.1 con registro de virus al 25 de Febrero del 2005 detecta y elimina eficientemente este gusano.