Le ver Kedebe est une horreur de logiciel de sécurité

La deuxième variante du ver Kedebe rend inaccessibles les pages Web des ordinateurs infectés.
Nouvelles sur les virus un Portail de sécurité avec le soutien de.

Un ver appelé Kedebe.B, qui se propage principalement par courrier électronique, arrête les processus associés aux logiciels antivirus et à diverses applications de sécurité. Cela affaiblit considérablement la protection des ordinateurs. Le ver modifie également le fichier hôte pour empêcher les sociétés de développement de logiciels de sécurité d'afficher des sites Web.

Lorsque le ver Kedebe.B démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% Système% \ NAVMON.EXE
% System% \ drwmgr32.exe
% Système% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% Système% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% Système% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% Système% \ NETM0N.EXE
% System% \ srvchost.exe
% Système% \ USRMGRINIT.JFX

2. Créez un fichier texte inoffensif nommé USRMGRINIT.JFX dans le répertoire système de Windows.

3. Avec les noms suivants, vous vous copiez dans les répertoires dont les noms contiennent l'un des mots "shar" ou "users".
Mot de passe administrateur Cracker.exe
ripper de DVD keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Outil de suppression de Mydoom.exe
Ado nu-Actions.com
Norton Personal Firewall 2005 Patch.exe
Supprimer les logiciels espions.exe
Win Server 2003 Remote Exploit.cmd
Suite de sécurité ZoneAlarm 2005 Crack.com

4. La base de données d'inscription
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
ajoute à votre clé
« Moniteur Windows [nom du ver] » = « [nom du fichier du ver] ».

5. La base de données d'inscription
HKEY_CURRENT_USER \ Logiciel \ Microsoft \ Windows NT \ CurrentVersion \ Windows
ajoute à votre clé
"Exécuter" = "[nom du fichier du ver]".

6. Rassemblez les adresses e-mail à partir de fichiers avec différentes extensions vers lesquels vous vous transférez.

Le sujet des feuilles infectées peut être :
Version MIME non valide indiquée.
Échec de la livraison
Sous-système de distribution du courrier
Réponse de sécurité Symantec. Urgent!
Informations de modification du serveur de messagerie

Le nom du fichier joint au courrier infecté est supprimé de la liste suivante :
Base64_Encoded_Message
Erreur
Pièce
Informations_du_compte_temporaire

7. Ouvrez une porte dérobée sur un port TCP sélectionné au hasard. Cela permet aux attaquants d'effectuer les actions suivantes :
- enregistrement des frappes
- modifier les paramètres de la souris
- désactiver le presse-papiers
- désactiver les périphériques d'entrée.

8. Arrête les processus liés aux logiciels antivirus et diverses applications de sécurité.

9. Modifiez le fichier hosts. Cela rend les pages Web inaccessibles à partir de l'ordinateur infecté.

10. Crée un mutex pour exécuter une seule instance sur le système à la fois.

11. Supprimez les fichiers suivants (le cas échéant) :
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Affiche la boîte de message suivante :