Червеят Kedebe е ужас на софтуер за сигурност

Вторият вариант на червея Kedebe прави уебсайтовете от заразени компютри недостъпни.
Новини за вируси a Портал за сигурност с подкрепата на.

Червей, наречен Kedebe.B, който се разпространява предимно чрез електронна поща, спира процеси, свързани с антивирусен софтуер и различни приложения за сигурност. Това значително отслабва защитата на компютрите. Червеят също така модифицира хост файла, за да попречи на компаниите за разработка на софтуер за сигурност да показват уебсайтове.

Когато червеят Kedebe.B стартира, той изпълнява следните действия:

1. Създайте следните файлове:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% Система% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% System% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Създайте безвреден текстов файл с име USRMGRINIT.JFX в системната директория на Windows.

3. Копирайте се в директориите, в чиито имена е една от думите „шар“ или „потребители“.
Администраторска парола Cracker.exe
DVD рипър keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Инструмент за премахване на Mydoom.exe
Голи teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware remover.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
добавя към вашия ключ
„Windows [име на червей] Monitor“ = „[име на червей]].

5. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
добавя към вашия ключ
“Run” = “[име на червей]].

6. Съберете имейл адресите от файлове с различни разширения, към които се препращате.

Обектът на заразените листа може да бъде:
Инвалидирана е невалидна MIME версия.
Неуспешна доставка
подсистема за доставка на поща
Отговор на сигурността на Symantec. Спешно!
Информация за промяна на пощенския сървър

Името на файла, прикачен към заразената поща, се премахва от следния списък:
Base64_Encoded_Message
грешка
Кръпка
Временна_Сметка_Инфо

7. Отворете задната врата на произволно избран TCP порт. Това позволява на нападателите да извършват следните действия:
регистриране на натискане на клавиш -
промяна на настройките на мишката -
изключете клипборда -
деактивирайте входните устройства -.

8. Спира процеси, свързани с антивирусен софтуер и различни приложения за сигурност.

9. Променете файла с хостове. Това прави уеб страниците недостъпни от заразения компютър.

10. Създава мютекс, за да изпълнява наведнъж само един екземпляр в системата.

11. Изтрийте следните файлове (ако има такива):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Показва следното поле за съобщение: