Kidala -ormen tager alt
Kidala.E-ormens hurtige spredning skyldes hovedsageligt, at den kan angribe udvalgte computere på mange måder.
Kidala.E-ormen spredes primært gennem e-mails. Det indsamler de nødvendige e-mail-adresser fra Windows adressebog og filer med forskellige udvidelser. Det genererer også adresser fra foruddefinerede navn- og domænelister. Ud over e-mail kan ormen spredes til onlinemeddelelsestjenester, netværksdelinger og fildelingsnetværk.
Kidala.E åbner en bagdør på inficerede computere, som gør det muligt for en hacker at udføre følgende handlinger:
- download og kør filer
- opdater og fjern ormen
- igangsættelse af DoS-angreb (Denial of Service)
Kidala.E stopper processerne forbundet med sikkerhedssoftware og udsætter således inficerede computere for yderligere malware.
Når Kidala.E -ormen starter, udfører den følgende handlinger:
1. Opret følgende fil:
% System% \ digsol.exe
2. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
føjer til din nøgle
“Soldig” = “% System% \ digsol.exe”.
3. Opret følgende nøgle i registreringsdatabasen:
HKEY_CURRENT_USER \ Software \ Obsidium
4. Indsamler e -mail -adresser fra Windows adressebog og filer med forskellige udvidelser. Det genererer også tilfældige e -mail -adresser ved hjælp af foruddefinerede navne og domæner.
5. Videresend til de tilgængelige adresser ved hjælp af sin egen SMTP -komponent.
Emnet for inficerede blade kan være:
[tom]
[tilfældige tegn]
Fejl
Hej
hi
Postleveringssystem
Mailtransaktion mislykkedes
Server rapport
Status
Filer med .cmd, .scr, .bat, .exe eller .pif filvedhæftninger kan navngives:
dokumentet
besked
readme
6. Prøv at sprede dig gennem instant messaging-tjenester.
7. Forsøg på at udnytte de sårbarheder, der er beskrevet i følgende Microsoft-sikkerhedsbulletiner:
MS03-026
MS04-011
MS03-007
MS05-039
8. Forsøg på at sprede sig via netværksaktier. For at gøre dette skal du bruge foruddefinerede brugernavne og adgangskoder.
9. Kopier dig selv til de delte biblioteker i fildelingssoftwaren.
10. Åbn en bagport, hvorigennem angribere kan udføre ondsindede operationer.
11. Stopper de processer, der er forbundet med sikkerhedssoftwaren.