Il worm Kedebe è un orrore del software di sicurezza

La seconda variante del worm Kedebe rende inaccessibili i siti Web dei computer infetti.
Notizie sul virus a Portale di sicurezza con il supporto di.

Un worm chiamato Kedebe.B, che si diffonde principalmente tramite e-mail, blocca i processi associati a software antivirus e varie applicazioni di sicurezza. Ciò indebolisce notevolmente la protezione dei computer. Il worm modifica anche il file host per impedire alle società di sviluppo di software di sicurezza di visualizzare siti Web.

Quando il worm Kedebe.B si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% Sistema% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Creare un file di testo innocuo denominato USRMGRINIT.JFX nella directory di sistema di Windows.

3. Con i seguenti nomi copiatevi nelle directory i cui nomi contengono una delle parole "shar" o "users".
Password di amministratore Cracker.exe
Ripper DVD keygen.exe
Installer.exe di Messenger 7.0
Microsoft AntiSpyware Patch.com
Mydoom rimozione tool.exe
Adolescente nudo Actions.com
Norton Personal Firewall 2005 Patch.exe
Rimozione spyware.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
aggiunge alla tua chiave
“Windows [nome worm] Monitor” = “[nome file worm]”.

5. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
aggiunge alla tua chiave
“Esegui” = “[nome del file worm]”.

6. Raccogli gli indirizzi email da file con estensioni diverse a cui ti inoltri.

Il soggetto delle foglie infette può essere:
È stata segnalata una versione MIME non valida.
mancata consegna
Sottosistema consegna posta
Risposta di sicurezza di Symantec. Urgente!
Informazioni sulla modifica del server di posta

Il nome del file allegato alla posta infetta viene rimosso dall'elenco seguente:
Base64_Messaggio_codificato
Errore
Toppa
Informazioni_conto_temporanee

7. Aprire una backdoor su una porta TCP selezionata casualmente. Ciò consente agli aggressori di eseguire le seguenti azioni:
- registrazione della sequenza di tasti
- modificare le impostazioni del mouse
- spegni gli appunti clip
- disabilitare i dispositivi di input.

8. Interrompe i processi relativi a software antivirus e varie applicazioni di sicurezza.

9. Modificare il file degli host. Ciò rende le pagine Web inaccessibili dal computer infetto.

10. Crea un mutex per eseguire solo un'istanza alla volta sul sistema.

11. Eliminare i seguenti file (se presenti):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Visualizza la seguente finestra di messaggio: