Robak Kedebe to horror oprogramowania zabezpieczającego

Drugi wariant robaka Kedebe uniemożliwia dostęp do stron internetowych z zainfekowanych komputerów.
Wiadomości o wirusach Portal bezpieczeństwa przy wsparciu.

Robak o nazwie Kedebe.B, który rozprzestrzenia się głównie za pośrednictwem poczty e-mail, zatrzymuje procesy związane z oprogramowaniem antywirusowym i różnymi aplikacjami zabezpieczającymi. To znacznie osłabia ochronę komputerów. Robak modyfikuje również plik hosta, aby uniemożliwić producentom oprogramowania zabezpieczającego wyświetlanie stron internetowych.

Po uruchomieniu robak Kedebe.B wykonuje następujące czynności:

1. Utwórz następujące pliki:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% System% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Utwórz nieszkodliwy plik tekstowy o nazwie USRMGRINIT.JFX w katalogu systemu Windows.

3. Skopiuj się do katalogów, które mają w nazwie jedno ze słów „shar” lub „users”.
Hasło administratora Cracker.exe
ripper DVD keygen.exe
Instalator programu Messenger 7.0.exe
Microsoft AntiSpyware Patch.com
Narzędzie do usuwania Mydoom.exe
Nagie nastolatki-Akcje.com
Norton Personal Firewall 2005 Patch.exe
Program do usuwania oprogramowania szpiegującego.exe
Wygraj plik Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
dodaje do twojego klucza
„Windows [nazwa robaka] Monitor” = „[nazwa pliku robaka]”.

5. Baza danych rejestracyjnych
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows NT \ CurrentVersion \ Windows
dodaje do twojego klucza
„Uruchom” = „[nazwa pliku robaka]”.

6. Zbierz adresy e-mail z plików o różnych rozszerzeniach, do których sam przekazujesz.

Przedmiotem porażonych liści może być:
Wskazano nieprawidłową wersję MIME.
Niepowodzenie dostawy
Podsystem dostarczania poczty
Symantec Security Response. Pilne!
Informacje o zmianie serwera pocztowego

Nazwa pliku dołączonego do zainfekowanej poczty jest usuwana z poniższej listy:
Wiadomość Base64_Encoded_Message
Błąd
Łata
Informacje o koncie tymczasowym

7. Otwórz backdoora na losowo wybranym porcie TCP. Dzięki temu atakujący mogą wykonać następujące czynności:
- rejestrowanie naciśnięć klawiszy
- zmień ustawienia myszy
- wyłącz schowek
- wyłącz urządzenia wejściowe.

8. Zatrzymuje procesy związane z oprogramowaniem antywirusowym i różnymi aplikacjami zabezpieczającymi.

9. Zmodyfikuj plik hosts. To sprawia, że ​​strony internetowe są niedostępne z zainfekowanego komputera.

10. Tworzy muteks do uruchamiania tylko jednej instancji w systemie naraz.

11. Usuń następujące pliki (jeśli występują):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Wyświetla następujący komunikat: