Červ Kedebe je horor bezpečnostného softvéru

Druhý variant červa Kedebe zneprístupňuje webové stránky z infikovaných počítačov.
Vírusové správy a Bezpečnostný portál s podporou.

Červ s názvom Kedebe.B, ktorý sa šíri predovšetkým prostredníctvom e -mailu, zastavuje procesy súvisiace s antivírusovým softvérom a rôznymi bezpečnostnými aplikáciami. To výrazne oslabuje ochranu počítačov. Červ tiež upravuje súbor hostiteľa, aby zabránil spoločnostiam vyvíjajúcim bezpečnostný softvér zobrazovať webové stránky.

Keď sa červ Kedebe.B spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% System% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Vytvorte neškodný textový súbor s názvom USRMGRINIT.JFX v systémovom adresári Windows.

3. S nasledujúcimi menami sa skopírujete do adresárov, ktorých názvy obsahujú jedno zo slov „shar“ alebo „users“.
Heslo správcu Cracker.exe
DVD ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Nástroj na odstránenie mydoom.exe
Nahý teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware remover.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Registračná databáza
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
pridáva k vášmu kľúču
“Windows [názov červa] Monitor” = “[názov súboru červa]”.

5. Registračná databáza
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
pridáva k vášmu kľúču
“Spustiť” = “[názov súboru červa]”.

6. Zhromaždite e -mailové adresy zo súborov s rôznymi príponami, do ktorých ich sami preposielate.

Predmetom infikovaných listov môžu byť:
Bola zistená neplatná verzia MIME.
Zlyhanie dodávky
Emailový donáškový podsystém
Odozva zabezpečenia spoločnosti Symantec. Naliehavé!
Informácie o zmene poštového servera

Názov súboru priloženého k infikovanej pošte sa odstráni z nasledujúceho zoznamu:
Base64_Encoded_Message
Chyba
Náplasť
Dočasný_účet_Info

7. Otvorte zadné vrátka na náhodne vybranom porte TCP. Útočníkom to umožňuje vykonávať nasledujúce akcie:
- zaznamenávanie stlačení klávesov
- zmeniť nastavenia myši
- vypnite schránku
- deaktivovať vstupné zariadenia.

8. Zastaví procesy súvisiace s antivírusovým softvérom a rôznymi bezpečnostnými aplikáciami.

9. Upravte súbor hostiteľov. Vďaka tomu sú webové stránky neprístupné z infikovaného počítača.

10. Vytvorí mutex na spustenie iba jednej inštancie v systéme súčasne.

11. Odstráňte nasledujúce súbory (ak existujú):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Zobrazí nasledujúce okno so správou: