Mindent bevet a Kidala féreg

A Kidala.E féreg a gyors terjedését elsősorban annak köszönhető, hogy sokféleképpen tudja támadni a kiszemelt számítógépeket.

A Kidala.E féreg elsősorban elektronikus levelek útján terjed. A szükséges email címeket a Windows címjegyzékéből, és különböző kiterjesztésű állományokból gyűjti össze. Emellett előre meghatározott név és domain listákból címeket is generál. A féreg az emailek mellett képes az azonnali üzenetküldő szolgáltatásokon, a hálózati megosztásokon illetve a fájlcserélő hálózatokon való terjedésre is.

A Kidala.E egy hátsó kaput nyit a fertőzött számítógépeken, amelyen keresztül a támadók a következő műveleteket végezhetik el:
– fájlok letöltése és futtatása
– a féreg frissítése és eltávolítása
– szolgáltatásmegtagadási (DoS) támadások kezdeményezése

A Kidala.E leállítja a biztonsági szoftverekhez tartozó folyamatokat, és ezáltal további kártékony programoknak szolgáltatja ki a fertőzött számítógépeket.

Amikor a Kidala.E féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\digsol.exe

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“soldig” = “%System%\digsol.exe” értéket.

3. Létrehozza a következő kulcsot a regisztrációs adatbázisban:
HKEY_CURRENT_USER\Software\Obsidium

4. A Windows címjegyzékéből, és különböző kiterjesztésű fájlokból összegyűjti az email címeket. Emellett előre maghatározott nevek és domainek felhasználásával véletlenszerű email címeket generál.

5. A saját SMTP komponensének segítségével továbbküldi magát a rendelkezésre álló címekre.

A fertőzött levelek tárgya lehet:
[üres]
[véletlenszerű karakterek]
Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status

A fertőzött levelek mellékletéhez tartozó .cmd, .scr, .bat, .exe vagy .pif kiterjesztésű fájlok neve lehet:
document
message
readme

6. Megpróbál azonnali üzenetküldő szolgáltatásokon keresztül terjedni.

7. Megpróbálja kihasználni a Microsoft alábbi biztonsági közleményeiben ismertetett sebezhetőségeket:
MS03-026
MS04-011
MS03-007
MS05-039

8. Megpróbál hálózati megosztásokon keresztül terjedni. Ehhez előre meghatározott felhasználóneveket és jelszavakat használ.

9. Bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba.

10. Nyit egy hátsó kaput, amelyen keresztül a támadók kártékony műveleteket végezhetnek el.

11. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.