A Kidala.E féreg a gyors terjedését elsősorban annak köszönhető, hogy sokféleképpen tudja támadni a kiszemelt számítógépeket.
A Kidala.E féreg elsősorban elektronikus levelek útján terjed. A szükséges email címeket a Windows címjegyzékéből, és különböző kiterjesztésű állományokból gyűjti össze. Emellett előre meghatározott név és domain listákból címeket is generál. A féreg az emailek mellett képes az azonnali üzenetküldő szolgáltatásokon, a hálózati megosztásokon illetve a fájlcserélő hálózatokon való terjedésre is.
A Kidala.E egy hátsó kaput nyit a fertőzött számítógépeken, amelyen keresztül a támadók a következő műveleteket végezhetik el:
– fájlok letöltése és futtatása
– a féreg frissítése és eltávolítása
– szolgáltatásmegtagadási (DoS) támadások kezdeményezése
A Kidala.E leállítja a biztonsági szoftverekhez tartozó folyamatokat, és ezáltal további kártékony programoknak szolgáltatja ki a fertőzött számítógépeket.
Amikor a Kidala.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%System%\digsol.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“soldig” = “%System%\digsol.exe” értéket.
3. Létrehozza a következő kulcsot a regisztrációs adatbázisban:
HKEY_CURRENT_USER\Software\Obsidium
4. A Windows címjegyzékéből, és különböző kiterjesztésű fájlokból összegyűjti az email címeket. Emellett előre maghatározott nevek és domainek felhasználásával véletlenszerű email címeket generál.
5. A saját SMTP komponensének segítségével továbbküldi magát a rendelkezésre álló címekre.
A fertőzött levelek tárgya lehet:
[üres]
[véletlenszerű karakterek]
Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
A fertőzött levelek mellékletéhez tartozó .cmd, .scr, .bat, .exe vagy .pif kiterjesztésű fájlok neve lehet:
document
message
readme
6. Megpróbál azonnali üzenetküldő szolgáltatásokon keresztül terjedni.
7. Megpróbálja kihasználni a Microsoft alábbi biztonsági közleményeiben ismertetett sebezhetőségeket:
MS03-026
MS04-011
MS03-007
MS05-039
8. Megpróbál hálózati megosztásokon keresztül terjedni. Ehhez előre meghatározott felhasználóneveket és jelszavakat használ.
9. Bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba.
10. Nyit egy hátsó kaput, amelyen keresztül a támadók kártékony műveleteket végezhetnek el.
11. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.