Der Kidala-Wurm nimmt alles
Die schnelle Verbreitung des Wurms Kidala.E ist hauptsächlich darauf zurückzuführen, dass er ausgewählte Computer auf vielfältige Weise angreifen kann.
Der Wurm Kidala.E verbreitet sich hauptsächlich über E-Mails. Es sammelt die benötigten E-Mail-Adressen aus dem Windows-Adressbuch und Dateien mit unterschiedlichen Erweiterungen. Es generiert auch Adressen aus vordefinierten Namens- und Domänenlisten. Neben E-Mails kann sich der Wurm auch auf Instant Messaging-Dienste, Netzwerkfreigaben und Filesharing-Netzwerke ausbreiten.
Kidala.E öffnet auf infizierten Computern eine Hintertür, die es einem Angreifer ermöglicht, die folgenden Aktionen auszuführen:
- Dateien herunterladen und ausführen
- Aktualisieren und entfernen Sie den Wurm
- Initiierung von Denial-of-Service (DoS)-Angriffen
Kidala.E stoppt die mit Sicherheitssoftware verbundenen Prozesse und setzt so infizierte Computer zusätzlicher Malware aus.
Wenn der Wurm Kidala.E startet, führt er die folgenden Aktionen aus:
1. Erstellen Sie die folgende Datei:
% System% \ digsol.exe
2. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunV
fügt Ihrem Schlüssel hinzu
„Soldig“ = „% System% \ digsol.exe“.
3. Erstellen Sie den folgenden Schlüssel in der Registrierung:
HKEY_CURRENT_USER \ Software \ Obsidium
4. Sammelt E-Mail-Adressen aus dem Windows-Adressbuch und Dateien mit unterschiedlichen Erweiterungen. Es generiert auch zufällige E-Mail-Adressen mit vordefinierten Namen und Domänen.
5. Über eine eigene SMTP-Komponente an die verfügbaren Adressen weiterleiten.
Das Thema infizierter Blätter kann sein:
[leer]
[zufällige Zeichen]
Fehler
HELLO
hi
Mail Delivery System
E-Mail-Transaktion fehlgeschlagen
Report Server
Status
Dateien mit .cmd-, .scr-, .bat-, .exe- oder .pif-Dateianhängen können wie folgt benannt werden:
Dokument
Nachricht
readme
6. Versuchen Sie, sich über Instant-Messaging-Dienste zu verbreiten.
7. Versuche, die in den folgenden Microsoft Security Bulletins beschriebenen Schwachstellen auszunutzen:
MS03-026
MS04-011
MS03-007
MS05-039
8. Versuche, sich über Netzwerkfreigaben zu verbreiten. Verwenden Sie dazu vordefinierte Benutzernamen und Passwörter.
9. Kopieren Sie sich in die freigegebenen Verzeichnisse der Filesharing-Software.
10. Öffnen Sie eine Hintertür, durch die Angreifer böswillige Operationen ausführen können.
11. Stoppt die mit der Sicherheitssoftware verbundenen Prozesse.