El gusano Kedebe es un software de seguridad de terror

La segunda variante del gusano Kedebe hace que los sitios web de las computadoras infectadas sean inaccesibles.
Noticias de virus a Portal de seguridad con el apoyo de.

Un gusano llamado Kedebe.B, que se propaga principalmente a través del correo electrónico, detiene los procesos asociados con el software antivirus y varias aplicaciones de seguridad. Esto debilita significativamente la protección de las computadoras. El gusano también modifica el archivo host para evitar que las empresas de desarrollo de software de seguridad muestren sitios web.

Cuando se inicia el gusano Kedebe.B, realiza las siguientes acciones:

1. Cree los siguientes archivos:
% System% \ winssc32.exe
% Sistema% \ mscppmgr.exe
% Sistema% \ kerne132.exe
% Sistema% \ NAVMON.EXE
% Sistema% \ drwmgr32.exe
% Sistema% \ DLLH0ST.EXE
% Sistema% \ gcasctrl.exe
% Sistema% \ msscan.exe
% System% \ cuApp.exe
% Sistema% \ LSSAS.EXE
% Sistema% \ AVmon.exe
% Sistema% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% Sistema% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% Sistema% \ mantispam.exe
% Sistema% \ NETM0N.EXE
% System% \ srvchost.exe
% Sistema% \ USRMGRINIT.JFX

2. Cree un archivo de texto inofensivo llamado USRMGRINIT.JFX en el directorio del sistema de Windows.

3. Cópiese a sí mismo en los directorios que tienen una de las palabras "shar" o "users" en sus nombres.
Contraseña de administrador Cracker.exe
Extractor de DVD keygen.exe
Instalador de Messenger 7.0.exe
Microsoft AntiSpyware Patch.com
Herramienta de eliminación de Mydoom.exe
Adolescente desnudo
Norton Personal Firewall 2005 Parche.exe
Eliminador de software espía.exe
Win Server 2003 Explotación remota.cmd
Paquete de seguridad ZoneAlarm 2005 Crack.com

4. La base de datos de registro
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
agrega a tu clave
“Monitor de [nombre del gusano] de Windows” = “[nombre del archivo del gusano]”.

5. La base de datos de registro
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
agrega a tu clave
“Ejecutar” = “[nombre de archivo de gusano]”.

6. Reúna las direcciones de correo electrónico de archivos con diferentes extensiones a las que se reenvía.

El tema de las hojas infectadas puede ser:
Se ha indicado una versión de MIME no válida.
Entrega fallida
Subsistema de entrega de correo
Respuesta de seguridad de Symantec. ¡Urgente!
Información de cambio del servidor de correo

El nombre del archivo adjunto al correo infectado se elimina de la siguiente lista:
Base64_Mensaje_codificado
Error
Patch
Información_de_cuenta_temporal

7. Abra una puerta trasera en un puerto TCP seleccionado al azar. Esto permite a los atacantes realizar las siguientes acciones:
- registro de pulsaciones de teclas
- cambiar la configuración del mouse
- apaga el portapapeles
- deshabilitar dispositivos de entrada.

8. Detiene los procesos relacionados con el software antivirus y varias aplicaciones de seguridad.

9. Modifique el archivo de hosts. Esto hace que las páginas web sean inaccesibles desde la computadora infectada.

10. Crea un mutex para ejecutar solo una instancia en el sistema a la vez.

11. Elimine los siguientes archivos (si los hay):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Muestra el siguiente cuadro de mensaje: