Все забирает червь Кидала
Быстрое распространение червя Kidala.E в основном связано с тем, что он может атаковать выбранные компьютеры разными способами.
Червь Kidala.E распространяется в основном через электронную почту. Он собирает необходимые адреса электронной почты из адресной книги Windows и файлов с разными расширениями. Он также генерирует адреса из предопределенных списков имен и доменов. Помимо электронной почты, червь может распространяться на службы обмена мгновенными сообщениями, общие сетевые ресурсы и сети обмена файлами.
Kidala.E открывает на зараженных компьютерах бэкдор, который позволяет злоумышленнику выполнять следующие действия:
- скачивать и запускать файлы
- обновить и удалить червя
- инициирование атак типа "отказ в обслуживании" (DoS)
Kidala.E останавливает процессы, связанные с программным обеспечением безопасности, и таким образом подвергает зараженные компьютеры дополнительному вредоносному ПО.
При запуске червь Kidala.E выполняет следующие действия:
1. Создайте следующий файл:
% System% \ digsol.exe
2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к твоему ключу
«soldig» = «%System%\digsol.exe».
3. Создайте в реестре следующий ключ:
HKEY_CURRENT_USER \ Программное обеспечение \ Обсидиум
4. Собирает адреса электронной почты из адресной книги Windows и файлов с разными расширениями. Он также генерирует случайные адреса электронной почты с использованием заранее определенных имен и доменов.
5. Перенаправить на доступные адреса, используя собственный компонент SMTP.
Предметом заражения листьев могут быть:
[пустой]
[случайные символы]
Ошибка
Здравствуйте
hi
Система доставки почты
Почтовая транзакция не удалась
Отчет по серверу
Статус:
Файлы с вложенными файлами .cmd, .scr, .bat, .exe или .pif могут быть названы:
документ
сообщение
ридми
6. Попробуйте распространиться через службы обмена мгновенными сообщениями.
7. Попытки использовать уязвимости, описанные в следующих бюллетенях по безопасности Microsoft:
MS03-026
MS04-011
MS03-007
MS05-039
8. Попытки распространения через сетевые ресурсы. Для этого используйте заранее заданные имена пользователей и пароли.
9. Скопируйте себя в общие каталоги программы для обмена файлами.
10. Откройте черный ход, через который злоумышленники могут выполнять вредоносные операции.
11. Останавливает процессы, связанные с программным обеспечением безопасности.