A W32.Kipis.J féreg elsősorban elektronikus levelek útján fertőzi meg a kiszemelt számítógépeket.
A W32.Kipis.J féreg saját SMTP komponenssel rendelkezik, amelynek segítségével küldi tovább magát a fertőzött számítógépekről összegyűjtött email címekre. A féreg a fájlcserélő hálózatokon való terjedésre is alkalmas. A Kipis legújabb variánsa működés szempontjából nagyon hasonlít a W32.Mydoom.AR@mm féreghez.
Amikor a W32.Kipis.J féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\regedit.com
%System%\1035\svchost.exe
%System%netstat.com
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
"Shell" = "Explorer.exe %System%\1035\svchost.exe" értéket.
3. A system.ini fájlhoz hozzáadja a következő sort:
Shell=Explorer.exe %System%\1035\svchost.exe
4. Bemásolja magát az alábbi neveken olyan könyvtárakba, amelyek nevében szerepel a "Microsoft Shar" vagy a "share" szó:
Deprivation virginity schoolgirl.exe
Pamela Anderson xxx(anal).exe
Porno image(schoolgirls).exe
Rape schoolgirl.scr
Sex,oral,anal,bdsm!.exe
Teen hardcore XXX.exe
Teen sex(anal,oral).exe
Virtual Girl 2.1.exe
Windows Longhorn screen.scr
XXX images.exe
5. Létrehoz a Windows System könyvtárába egy msvcrt50x.dll fájlt.
6. A Windows címjegyzékéből és különböző kiterjesztésű fájlokból összegyűjti az email címeket. Ezekre a saját SMTP komponensének segítségével továbbküldi magát.
A fertőzött levelek tárgya lehet:
Happy Valentine's day
Happy day
Present
Valentine's day
you my love..
your love
here
hi
Re: My porno
your
A fertőzött levelek mellékletéhez tartozó .exe, .scr vagy .zip kiterjesztésű fájlok neve lehet:
My nude_04
present
Valentine
flash love
porno_03
your present
love
Joke
nude.
Forrás : Biztonságportál