Crv Kedebe užas je sigurnosnog softvera

Druga varijanta crva Kedebe čini web stranice zaraženih računala nedostupnima.
Vijesti o virusima a Sigurnosni portal uz potporu.

Crv pod nazivom Kedebe.B, koji se širi prvenstveno putem e-pošte, zaustavlja procese povezane s antivirusnim softverom i raznim sigurnosnim aplikacijama. To značajno slabi zaštitu računala. Crv također modificira datoteku hosta kako bi spriječio tvrtke za razvoj sigurnosnog softvera da prikazuju web stranice.

Kada se crv Kedebe.B pokrene, on izvršava sljedeće radnje:

1. Stvorite sljedeće datoteke:
% System% \ winssc32.exe
% Sustav% \ mscppmgr.exe
% Sustav% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% Sustav% \ DLLH0ST.EXE
% Sustav% \ gcasctrl.exe
% Sustav% \ msscan.exe
% Sustav% \ cuApp.exe
% Sustav% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% Sustav% \ gcasSav32.exe
% Sustav% \ LUC0MS ~ 1.EXE
% Sustav% \ zlbclient.exe
% System% \ mantispam.exe
% Sustav% \ NETM0N.EXE
% Sustav% \ srvchost.exe
% Sustav% \ USRMGRINIT.JFX

2. Stvorite bezopasnu tekstualnu datoteku pod nazivom USRMGRINIT.JFX u direktoriju sustava Windows.

3. Sa sljedećim imenima kopirate se u direktorije čija imena sadrže jednu od riječi "shar" ili "users".
Admin Password Cracker.exe
DVD riper keygen.exe
Instalacijski program Messenger 7.0.exe
Microsoft AntiSpyware Patch.com
Mydoom alat za uklanjanje.exe
Goli tinejdžeri- Akcije.com
Norton Personal Firewall 2005 Patch.exe
Uklanjanje špijunskog softvera.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Baza podataka o registraciji
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
dodaje vašem ključu
“Windows [naziv crva] Monitor” = “[naziv datoteke crva]”.

5. Baza podataka o registraciji
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
dodaje vašem ključu
“Pokreni” = “[naziv datoteke crva]”.

6. Prikupite adrese e-pošte iz datoteka s različitim nastavcima na koje se prosljeđujete.

Predmet zaraženih listova može biti:
Upućena nevažeća verzija MIME.
Neuspjeh u isporuci
Podsistem za dostavu pošte
Symantecov sigurnosni odgovor. Hitno!
Podaci o promjeni poslužitelja pošte

Ime datoteke u prilogu zaražene pošte uklanja se sa sljedećeg popisa:
Base64_Encoded_Message
greška
Patch
Privremeni_račun_Info

7. Otvorite backdoor na slučajno odabranom TCP priključku. To omogućava napadačima da izvrše sljedeće radnje:
bilježenje pritiskom na tipke -
promjena postavki miša -
- isključiti međuspremnik
onemogućiti ulazne uređaje -.

8. Zaustavlja procese povezane s antivirusnim softverom i raznim sigurnosnim aplikacijama.

9. Izmijenite datoteku domaćina. To čini web stranice nedostupnima sa zaraženog računala.

10. Stvara mutex za istodobno pokretanje samo jedne instance na sustavu.

11. Izbrišite sljedeće datoteke (ako postoje):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Prikazuje sljedeći okvir s porukama: