Email-Worm.Win32.Kelino

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 12 KB i zosta艂 stworzony przy pomocy j臋zyka programowania Assembler.

Zainfekowane wiadomo艣ci r贸偶ni膮 si臋 w zale偶no艣ci od wersji robaka:

Od (dwa warianty):

  • "Microsoft Support" (support@microsoft.com)
  • "Microsoft HelpBoard" help@microsoft.com

Temat: Support Message

Tre艣膰 (dwa warianty):

  • During the last time, many bugs were found in our software. Because of our product philosophie, we want to give our custumers as much security as possible. So we decided to send out to all known Microsoft custumers the NetBios patch Version 1.0 . This patch will fix all the known and possibly unknown bugs and securityholes on port 137 and 139. The patch is completly free and easy to install. Our patch will install itself after starting and run as background process. After a successfull installation you should get an OK message box. Thanx for using Microsoft products.

    Your Microsoft Support Team

  • During the last time, some bugs were found in our software. Because of our product philosophy, we want to give our customers as much security as possible. So, we decided to end out to all known Microsoft custumers the Security patch Version 1.0 . This patch will fix all the bugs and securityholes on port 137 and 139. The patch is completly free and easy to install. Our patch will install itself after starting and run as background process. After a successfull installation you should get a confirmation message box. Thank you for using Microsoft products.

    Your Microsoft Support Team

Nazwa za艂膮cznika:

  • netbiospatch10.exe
  • secpatch10.exe

Robak aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik uruchomi za艂膮czony do niej plik.

Instalacja

Podczas instalacji szkodnik kopiuje si臋 z folderu Windows wybieraj膮c, w zale偶no艣ci od wersji, jedn膮 z poni偶szych nazw:

  • netbiospatch10.exe
  • secpatch10.exe

i tworzy dla tej kopii klucz auto-run w rejestrze systemowy:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
netpatch = netbiospatch10.exe
secpatch = secpatch10.exe

Nast臋pnie robak wy艣wietla fa艂szywy komunikat o b艂臋dzie:

KERNEL32 ERROR
Couldn't execute frame buffer!

Rozprzestrzenianie

W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje ksi膮偶k臋 adresow膮 systemu Windows (plik WAB) oraz bezpo艣rednie po艂膮czenie z domy艣lnym serwerem SMTP.

Po udanym rozes艂aniu zainfekowanych plik贸w, robak powiadamia swojego autora wysy艂aj膮c do niego pust膮 wiadomo艣膰:

Od: "Kelaino" kelaino@microsoft.com
Do: kelaino@freenet.de

Temat: Slave Message