Kedebe-ormen er en rædsel til sikkerhedssoftware

Den anden variant af Kedebe -ormen gør websteder fra inficerede computere utilgængelige.
Virusnyheder a Sikkerhedsportal med støtte fra.

En orm kaldet Kedebe.B, som primært spredes via e -mail, stopper processer, der er forbundet med antivirussoftware og forskellige sikkerhedsprogrammer. Dette svækker betydeligt beskyttelsen af ​​computere. Ormen ændrer også værtsfilen for at forhindre udviklingsfirmaer i sikkerhedssoftware i at vise websteder.

Når Kedebe.B -ormen starter, udfører den følgende handlinger:

1. Opret følgende filer:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% System% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Opret en ufarlig tekstfil ved navn USRMGRINIT.JFX i Windows System -biblioteket.

3. Kopier dig selv til de biblioteker, der har et af ordene “shar” eller “brugere” i deres navne.
Admin Password Cracker.exe
DVD -ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Mydoom fjernelsesværktøj.exe
Nøgen teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware remover.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
føjer til din nøgle
"Windows [ormnavn] Monitor" = "[ormfilnavn]".

5. Registreringsdatabasen
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
føjer til din nøgle
"Kør" = "[ormfilnavn]".

6. Saml e -mail -adresser fra filer med forskellige udvidelser, som du selv videresender til.

Emnet for inficerede blade kan være:
Ugyldig MIME -version indikeret.
Manglende levering
Mail Delivery Subsystem
Symantec Sikkerhedsrespons. Presserende!
Mailserver ændrer oplysninger

Navnet på filen, der er knyttet til den inficerede mail, fjernes fra følgende liste:
Base64_Encoded_Message
Fejl
patch
Midlertidig_Konto_Info

7. Åbn en bagdør på en tilfældigt valgt TCP -port. Dette giver angriberne mulighed for at udføre følgende handlinger:
- logning af tastetryk
- ændre musens indstillinger
- sluk for udklipsholderen
- deaktiver inputenheder.

8. Stopper processer relateret til antivirussoftware og forskellige sikkerhedsprogrammer.

9. Rediger værtsfilen. Dette gør websider utilgængelige fra den inficerede computer.

10. Opretter en mutex til kun at køre én forekomst på systemet ad gangen.

11. Slet følgende filer (hvis nogen):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Viser følgende meddelelsesboks: