Червь Kedebe - ужасная программа для обеспечения безопасности

Второй вариант червя Kedebe делает веб-сайты недоступными с зараженных компьютеров.
Вирусные новости Портал безопасности с его поддержкой.

Червь Kedebe.B, распространяющийся преимущественно через электронную почту, останавливает работу антивирусного программного обеспечения и различных приложений безопасности. Это существенно ослабляет защиту компьютеров. Червь также модифицирует хост-файл, чтобы предотвратить отображение веб-сайтов компаний, производящих программное обеспечение безопасности.

При запуске червь Kedebe.B выполняет следующие действия:

1. Создайте следующие файлы:
%System%\winssc32.exe
%System%\mscppmgr.exe
%System%\kerne132.exe
%System%\NAVMON.EXE
%System%\drwmgr32.exe
%System%\DLLH0ST.EXE
%System%\gcasctrl.exe
%System%\msscan.exe
%System%\cuApp.exe
%System%\LSSAS.EXE
%System%\AVmon.exe
%System%\SERVlCES.EXE
%System%\gcasSav32.exe
%System%\LUC0MS~1.EXE
%System%\zlbclient.exe
%System%\mantispam.exe
%System%\NETM0N.EXE
%System%\srvchost.exe
%System%\USRMGRINIT.JFX

2. Создает безвредный текстовый файл с именем USRMGRINIT.JFX в системном каталоге Windows.

3. Со следующими именами вы копируете себя в каталоги, названия которых содержат одно из слов «шар» или «пользователи».
Взломщик пароля администратора.exe
DVD-риппер keygen.exe
Установщик Messenger 7.0.exe
Microsoft AntiSpyware Patch.com
Инструмент удаления Mydoom.exe
Голый подросток-Actions.com
Norton Personal Firewall 2005 Patch.exe
Программа удаления шпионских программ.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
добавляет к твоему ключу
«Windows [имя червя] Монитор» = «[имя файла червя]».

5. Регистрационная база данных
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
добавляет к твоему ключу
«Выполнить» = «[имя файла-червя]».

6. Он собирает адреса электронной почты, на которые пересылает себя, из файлов с разными расширениями.

Предметом заражения листьев могут быть:
Указана неверная версия MIME.
Неудачная доставка
Подсистема доставки почты
Ответ безопасности Symantec. Срочный!
Информация об изменении почтового сервера

Имя файла, прикрепленного к зараженному письму, взято из списка ниже:
Base64_Encoded_Message
Ошибка
Патчи
Временная_информация_аккаунта

7. Открывает бэкдор на случайно выбранном TCP-порту. Благодаря этому злоумышленники могут выполнить следующие действия:
- регистрация нажатий клавиш
— изменить настройки мыши
— отключить буфер обмена
– отключить устройства ввода.

8. Останавливает процессы антивирусного ПО и различных приложений безопасности.

9. Измените файл хостов. Это делает веб-сайты недоступными с зараженного компьютера.

10. Создает мьютекс для одновременного запуска только одного экземпляра в системе.

11. Удаляет следующие файлы (если они существуют):
Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe
Norton AntiVirus\OPSCAN.EXE
срчасст\mui\0409\balloon.xsl
срчасст\муи\0409\bar.xsl
срчасст\муи\0409\lcladvdf.xml
Zone Labs\ZoneAlarm\MailFrontierZone Labs\ZoneAlarm\MailFrontier\mantispm.exe

12. Отобразится следующее окно сообщения: