Tutto è preso dal verme Kidala
La rapida diffusione del worm Kidala.E è principalmente dovuta al fatto che può attaccare computer selezionati in molti modi.
Il worm Kidala.E si diffonde principalmente tramite e-mail. Raccoglie gli indirizzi di posta elettronica richiesti dalla Rubrica di Windows e file con estensioni diverse. Genera anche indirizzi da elenchi di nomi e domini predefiniti. Oltre alla posta elettronica, il worm può diffondersi a servizi di messaggistica istantanea, condivisioni di rete e reti di condivisione file.
Kidala.E apre una backdoor sui computer infetti, che consente a un utente malintenzionato di eseguire le seguenti azioni:
- scaricare ed eseguire file
- aggiorna e rimuovi il worm
- avvio di attacchi denial of service (DoS)S
Kidala.E interrompe i processi associati al software di sicurezza e quindi espone i computer infetti a malware aggiuntivo.
Quando il worm Kidala.E si avvia, esegue le seguenti azioni:
1. Creare il seguente file:
% System% \ digsol.exe
2. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
aggiunge alla tua chiave
“soldig” = “%System%\digsol.exe”.
3. Creare la seguente chiave nel registro:
HKEY_CURRENT_USER \ Software \ Obsidium
4. Raccoglie indirizzi e-mail dalla rubrica di Windows e file con estensioni diverse. Genera anche indirizzi email casuali utilizzando nomi e domini predefiniti.
5. Inoltra agli indirizzi disponibili utilizzando il proprio componente SMTP.
Il soggetto delle foglie infette può essere:
[vuoto]
[caratteri casuali]
Errore
Ciao
hi
Sistema di consegna della posta
Transazione di posta non riuscita
Rapporto server
Stato dei servizi
I file con allegati .cmd, .scr, .bat, .exe o .pif possono essere denominati:
documento
messaggio
readme
6. Cerca di diffonderti attraverso i servizi di messaggistica istantanea.
7. Tentativi di sfruttare le vulnerabilità descritte nei seguenti bollettini Microsoft sulla sicurezza:
MS03-026
MS04-011
MS03-007
MS05-039
8. Tentativi di diffusione tramite condivisioni di rete. Per fare ciò, utilizzare nomi utente e password predefiniti.
9. Copia te stesso nelle directory condivise del software di condivisione file.
10. Aprire una backdoor attraverso la quale gli aggressori possono eseguire operazioni dannose.
11. Arresta i processi associati al software di sicurezza.