Црв Кедебе је ужас сигурносног софтвера

Друга варијанта црва Кедебе чини веб локације са заражених рачунара недоступним.
Вирусне вести а Безбедносни портал уз подршку.

Црв под називом Кедебе.Б, који се шири првенствено путем е-поште, зауставља процесе повезане са антивирусним софтвером и разним безбедносним апликацијама. Ово значајно слаби заштиту ваших рачунара. Црв такође модификује датотеку хоста како би спречио компаније за развој безбедносног софтвера да прикажу своје веб локације.

Када се црв Кедебе.Б покрене, он обавља следеће радње:

1. Креирајте следеће датотеке:
% Систем% \ винссц32.еке
% Систем% \ мсцппмгр.еке
% Систем% \ керне132.еке
% Систем% \ НАВМОН.ЕКСЕ
% Систем% \ дрвмгр32.еке
% Систем% \ ДЛЛХ0СТ.ЕКСЕ
% Систем% \ гцасцтрл.еке
% Систем% \ мссцан.еке
% Систем% \ цуАпп.еке
% Систем% \ ЛССАС.ЕКСЕ
% Систем% \ АВмон.еке
% Систем% \ СЕРВлЦЕС.ЕКСЕ
% Систем% \ гцасСав32.еке
% Систем% \ ЛУЦ0МС ~ 1.ЕКСЕ
% Систем% \ злбцлиент.еке
% Систем% \ мантиспам.еке
% Систем% \ НЕТМ0Н.ЕКСЕ
% Систем% \ срвцхост.еке
% Систем% \ УСРМГРИНИТ.ЈФКС

2. Креирајте безопасну текстуалну датотеку под називом УСРМГРИНИТ.ЈФКС у Виндовс системском директоријуму.

3. Са следећим именима, копирате се у директоријуме чија имена садрже једну од речи "схар" или "усерс".
Админ Пассворд Црацкер.еке
ДВД риппер кеиген.еке
Мессенгер 7.0 Инсталлер.еке
Мицрософт АнтиСпиваре Патцх.цом
Мидоом ремове тоол.еке
Накед теен-Ацтионс.цом
Нортон Персонал Фиревалл 2005 Патцх.еке
Спиваре ремовер.еке
Вин Сервер 2003 Ремоте Екплоит.цмд
ЗонеАларм Сецурити Суите 2005 Црацк.цом

4. База података о регистрацији
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун
додаје вашем кључу
„Виндовс [име црва] Монитор“ = „[име датотеке црва]“.

5. База података о регистрацији
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Виндовс
додаје вашем кључу
„Покрени“ = „[име датотеке црва]“.

6. Прикупља адресе е-поште из датотека са различитим екстензијама на које сами прослеђујете.

Предмет заражених листова може бити:
Приказана је неважећа МИМЕ верзија.
Неуспешна испорука
Подсистем за испоруку поште
Симантец Сецурити Респонсе. Хитно!
Информације о промени мејл сервера

Назив датотеке приложене зараженој поруци је наведен у наставку:
Басе64_Енцодед_Мессаге
Грешка
Закрпа
Темпорари_Аццоунт_Инфо

7. Отворите бацкдоор на насумично изабраном ТЦП порту. Ово омогућава нападачима да изврше следеће радње:
- евидентирање притиска тастера
- промените подешавања миша
- искључите клипборд
- онемогућите улазне уређаје.

8. Зауставља процесе који се односе на антивирусни софтвер и разне безбедносне апликације.

9. Измените датотеку хостс. Ово чини веб странице недоступним са зараженог рачунара.

10. Креира мутекс за покретање само једне по једне инстанце на систему.

11. Избришите следеће датотеке (ако их има):
Мицрософт АнтиСпиваре \ ГИАНТАнтиСпивареМаин.еке
Мицрософт АнтиСпиваре \ ГИАНТАнтиСпивареУпдатер.еке
Нортон АнтиВирус \ ОПСЦАН.ЕКСЕ
срцхасст \ муи \ 0409 \ балоон.ксл
срцхасст \ муи \ 0409 \ бар.ксл
срцхасст \ муи \ 0409 \ лцладвдф.кмл
Зоне Лабс \ ЗонеАларм \ МаилФронтиерЗоне Лабс \ ЗонеАларм \ МаилФронтиер \ мантиспм.еке

12. Приказује следећи оквир са поруком: