A Kipis.K féreg a fertőzött számítógépeken hátsó kaput nyit a támadók számára.

A W32.Kipis.K@mm elektronikus leveleken keresztül terjed. Ezekhez a levelekhez .exe, .scr vagy .zip kiterjesztésű fájlok tartoznak. A féreg módosítja a fertőzött számítógépek biztonsági beállításait, majd egy hátsó kaput nyit a támadók számára.

A W32.Kipis.K@mm féreg további ismert nevei: Email-Worm.Win32.Kipis.k [Kaspersky Lab], W32/Kipis-I [Sophos].

Amikor a W32.Kipis.K@mm féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\regedit.com
%System%\netstat.com
%System%\microsoft\svchost.exe

2. A System.ini fájlhoz hozzáadja a
"Shell" = "Explorer.exe %System%\microsoft\svchost.exe" sort.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
"Shell" = "Explorer.exe %System%\microsoft\svchost.exe" értéket.

4. Nyit egy hátsó kaput a 1988-as TCP porton, amelyen keresztül a támadók a fertőzött számítógépekre fájlokat tölthetnek fel, és ezeket le is futtathatják.

5. A féreg összegyűjti a Windows címjegyzékéből, és különböző kiterjesztésű fájlokból az email címeket. Ezekre a saját SMTP komponensének segítségével továbbküldi magát.

A fertőzött levelek tárgya lehet:
Thanks ;)
Thank you!!!
Cool! :)
Cool flash porno! :)

A fertőzött levelek üzenete lehet:
love you! :),congratulate!
I congratulate on the coming Valentine's day! My gift to you.
With the coming Valentine's day! I very much love you.
Please see my flash present :)
you my love..

A fertőzött levelek mellékletében szereplő fájlok neve lehet:
My nude_04
Joke
porno_03
Valentine
flash love
your present
sandra
mary
brenda
dave
linda
stan
mike
anna
adam
maria
rosa
stiv
liza
dana
alx

6. Leállítja az antivírus szoftverekhez és az egyéb biztonsági alkalmazásokhoz tartozó folyamatokat.