De Kedebe-worm is een horror voor beveiligingssoftware

De tweede variant van de Kedebe-worm maakt websites van geïnfecteerde computers ontoegankelijk.
Virusnieuws a Beveiligingsportal met de steun van.

Een worm genaamd Kedebe.B, die zich voornamelijk via e-mail verspreidt, stopt processen die verband houden met antivirussoftware en verschillende beveiligingstoepassingen. Dit verzwakt de bescherming van computers aanzienlijk. De worm wijzigt ook het hostbestand om te voorkomen dat bedrijven die beveiligingssoftware ontwikkelen websites weergeven.

Wanneer de Kedebe.B-worm start, voert deze de volgende acties uit:

1. Maak de volgende bestanden aan:
% Systeem% \ winssc32.exe
% Systeem% \ mscppmgr.exe
% Systeem% \ kernel132.exe
% Systeem% \ NAVMON.EXE
% Systeem% \ drwmgr32.exe
% Systeem% \ DLLH0ST.EXE
% Systeem% \ gcasctrl.exe
% Systeem% \ msscan.exe
% Systeem% \ cuApp.exe
% Systeem% \ LSSAS.EXE
% Systeem% \ AVmon.exe
% Systeem% \ SERVlCES.EXE
% Systeem% \ gcasSav32.exe
% Systeem% \ LUC0MS ~ 1.EXE
% Systeem% \ zlbclient.exe
% Systeem% \ mantispam.exe
% Systeem% \ NETM0N.EXE
% Systeem% \ srvchost.exe
% Systeem% \ USRMGRINIT.JFX

2. Maak een onschadelijk tekstbestand met de naam USRMGRINIT.JFX in de Windows-systeemmap.

3. Kopieer jezelf naar de mappen die een van de woorden "shar" of "users" in hun naam hebben.
Beheerderswachtwoord Cracker.exe
Dvd-ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Mydoom-verwijderingshulpprogramma.exe
Naakte tiener-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spywareverwijderaar.exe
Win Server 2003 Externe Exploit.cmd
ZoneAlarm Beveiligingssuite 2005 Crack.com

4. De registratiedatabase
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
voegt toe aan je sleutel
"Windows [wormnaam] Monitor" = "[wormbestandsnaam]".

5. De registratiedatabase
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
voegt toe aan je sleutel
"Uitvoeren" = "[naam wormbestand]".

6. Verzamel de e-mailadressen uit bestanden met verschillende extensies waarnaar u zelf doorstuurt.

Het onderwerp van geïnfecteerde bladeren kan zijn:
Ongeldige MIME-versie aangegeven.
levering mislukt
Mail Delivery Subsystem
Symantec-beveiligingsreactie. Dringend!
E-mailserver verandert informatie

De naam van het bestand dat bij de geïnfecteerde e-mail is gevoegd, wordt verwijderd uit de volgende lijst:
Base64_Encoded_Message
Fout
Patch
Tijdelijke_Account_Info

7. Open een achterdeur op een willekeurig geselecteerde TCP-poort. Hierdoor kunnen aanvallers de volgende acties uitvoeren:
- toetsaanslagregistratie
- muisinstellingen wijzigen
- zet het klembord uit
- schakel invoerapparaten uit.

8. Stopt processen met betrekking tot antivirussoftware en verschillende beveiligingstoepassingen.

9. Wijzig het hosts-bestand. Dit maakt webpagina's ontoegankelijk vanaf de geïnfecteerde computer.

10. Creëert een mutex om slechts één instantie tegelijk op het systeem uit te voeren.

11. Verwijder de volgende bestanden (indien aanwezig):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Geeft het volgende berichtvenster weer: