Der Kedebe-Wurm ist ein Sicherheitssoftware-Horror

Die zweite Variante des Kedebe-Wurms macht Websites von infizierten Computern unzugänglich.
Virusnachrichten a Sicherheitsportal mit der Unterstützung von.

Ein Wurm namens Kedebe.B, der sich hauptsächlich über E-Mails verbreitet, stoppt Prozesse, die mit Antivirensoftware und verschiedenen Sicherheitsanwendungen verbunden sind. Dies schwächt den Schutz von Computern erheblich. Der Wurm modifiziert auch die Host-Datei, um zu verhindern, dass Entwickler von Sicherheitssoftware Websites anzeigen.

Wenn der Wurm Kedebe.B startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
% System% \ winssc32.exe
% System% \ mscppmgr.exe
% System% \ kerne132.exe
% System% \ NAVMON.EXE
% System% \ drwmgr32.exe
% System% \ DLLH0ST.EXE
% System% \ gcasctrl.exe
% System% \ msscan.exe
% System% \ cuApp.exe
% System% \ LSSAS.EXE
% System% \ AVmon.exe
% System% \ SERVlCES.EXE
% System% \ gcasSav32.exe
% System% \ LUC0MS ~ 1.EXE
% System% \ zlbclient.exe
% System% \ mantispam.exe
% System% \ NETM0N.EXE
% System% \ srvchost.exe
% System% \ USRMGRINIT.JFX

2. Erstellen Sie eine harmlose Textdatei namens USRMGRINIT.JFX im Windows-Systemverzeichnis.

3. Kopieren Sie sich in die Verzeichnisse, deren Namen eines der Wörter „shar“ oder „users“ enthalten.
Admin-Passwort Cracker.exe
DVD-Ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware-Patch.com
Mydoom Entfernungstool.exe
Nackte Teenager-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware-Entferner.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Currentversion \ Run
fügt Ihrem Schlüssel hinzu
„Windows [Wurmname] Monitor“ = „[Wurmdateiname]“.

5. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
fügt Ihrem Schlüssel hinzu
„Ausführen“ = „[Wurmdateiname]“.

6. Sammeln Sie die E-Mail-Adressen aus Dateien mit unterschiedlichen Erweiterungen, an die Sie sich weiterleiten.

Das Thema infizierter Blätter kann sein:
Ungültige MIME-Version angegeben.
Fehllieferung
Mail Delivery Subsystem
Symantec-Sicherheitsantwort. Dringend!
Änderungsinformationen des Mailservers

Der Name der an die infizierte Mail angehängten Datei wird aus der folgenden Liste entfernt:
Base64_Encoded_Message
Fehler
Patch
Temporäre_Konto_Info

7. Öffnen Sie eine Hintertür auf einem zufällig ausgewählten TCP-Port. Auf diese Weise können Angreifer die folgenden Aktionen ausführen:
- Protokollierung von Tastenanschlägen
- Mauseinstellungen ändern
- schalte die Zwischenablage aus
- Eingabegeräte deaktivieren.

8. Stoppt Prozesse im Zusammenhang mit Antivirensoftware und verschiedenen Sicherheitsanwendungen.

9. Ändern Sie die Hosts-Datei. Dies macht Webseiten für den infizierten Computer unzugänglich.

10. Erstellt einen Mutex, um jeweils nur eine Instanz auf dem System auszuführen.

11. Löschen Sie die folgenden Dateien (falls vorhanden):
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
Norton AntiVirus \ OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst \ mui \ 0409 \ lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. Zeigt das folgende Meldungsfeld an: