Črv Kedebe je grozljivka varnostne programske opreme

Druga različica črva Kedebe onemogoča dostop do spletnih mest iz okuženih računalnikov.
Novice o virusih a Varnostni portal s podporo.

Črv, imenovan Kedebe.B, ki se širi predvsem po elektronski pošti, ustavi procese, povezane s protivirusno programsko opremo in različnimi varnostnimi aplikacijami. To bistveno oslabi zaščito računalnikov. Črv spreminja tudi datoteko gostitelja, da podjetjem za razvoj varnostne programske opreme prepreči prikaz spletnih mest.

Ko se črv Kedebe.B zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% Sistem% \ NAVMON.EXE
% System% \ drwmgr32.exe
% Sistem% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% Sistem% \ LSSAS.EXE
% System% \ AVmon.exe
% Sistem% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% Sistem% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% Sistem% \ NETM0N.EXE
% System% \ srvchost.exe
% Sistem% \ USRMGRINIT.JFX

2. V imeniku sistema Windows ustvarite neškodljivo besedilno datoteko z imenom USRMGRINIT.JFX.

3. Kopirajte se v imenike, v katerih je ena od besed "shar" ali "users".
Skrbniško geslo Cracker.exe
DVD ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Mydoom odstranitveno orodje.exe
Goli teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Odstranjevalec vohunske programske opreme.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Registracijska baza podatkov
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
doda vašemu ključu
"Windows [ime črva] Monitor" = "[ime datoteke črvov]".

5. Registracijska baza podatkov
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
doda vašemu ključu
“Run” = “[ime datoteke črvov]”.

6. Zberite e -poštne naslove iz datotek z različnimi razširitvami, na katere se posredujete sami.

Predmet okuženih listov je lahko:
Neveljavna različica MIME posredovana.
Napaka pri dostavi
Podsistem za dostavo pošte
Symantec Security Response. Nujno!
Poštni strežnik spreminja podatke

Ime datoteke, priložene okuženi pošti, je odstranjeno s tega seznama:
Base64_Encoded_Message
napaka
Patch
Začasni_račun_Info

7. Odprite zadnjo stran na naključno izbranih vratih TCP. To omogoča napadalcem, da izvedejo naslednja dejanja:
- zapisovanje pritiska na tipko -
- spremenite nastavitve miške
- izklopite odložišče
- onemogočite vhodne naprave.

8. Zaustavi procese, povezane s protivirusno programsko opremo in različnimi varnostnimi aplikacijami.

9. Spremenite datoteko hosts. Zaradi tega spletne strani iz okuženega računalnika niso dostopne.

10. Ustvari mutex za izvajanje samo enega primerka v sistemu hkrati.

11. Izbrišite naslednje datoteke (če obstajajo):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Prikaže to polje s sporočilom: