A Kedebe féreg a biztonsági szoftverek réme
A Kedebe féreg második variánsa a fertőzött számítógépekről weboldalakat tesz elérhetetlenné.
Vírushírek a Biztonságportál támogatásával.
Az elsősorban elektronikus leveleken keresztül terjedő Kedebe.B nevű féreg leállítja az antivírus szoftverekhez és a különböző biztonsági alkalmazásokhoz tartozó folyamatokat. Ezzel jelentősen meggyengíti a számítógépek védelmét. A féreg a host fájlt is módosítja annak érdekében, hogy megakadályozza a biztonsági szoftverek fejlesztésével foglalkozó cégek weboldalainak megjelenítését.
Amikor a Kedebe.B féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi fájlokat:
%System%\winssc32.exe
%System%\mscppmgr.exe
%System%\kerne132.exe
%System%\NAVMON.EXE
%System%\drwmgr32.exe
%System%\DLLH0ST.EXE
%System%\gcasctrl.exe
%System%\msscan.exe
%System%\cuApp.exe
%System%\LSSAS.EXE
%System%\AVmon.exe
%System%\SERVlCES.EXE
%System%\gcasSav32.exe
%System%\LUC0MS~1.EXE
%System%\zlbclient.exe
%System%\mantispam.exe
%System%\NETM0N.EXE
%System%\srvchost.exe
%System%\USRMGRINIT.JFX
2. Létrehoz egy ártalmatlan USRMGRINIT.JFX nevű szöveges fájlt a Windows System könyvtárába.
3. Az alábbi neveken bemásolja magát azokba a könyvtárakba, amelyek nevében a “shar” vagy az “users” szavak valamelyike szerepel.
Admin Password Cracker.exe
DVD ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Mydoom removal tool.exe
Naked teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware remover.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
“Windows [féreg neve] Monitor” = “[féreghez tartozó fájl neve]” értéket.
5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja a
“Run” = “[féreghez tartozó fájl neve]” értéket.
6. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi magát.
A fertőzött levelek tárgya lehet:
Invalid MIME version indiacted.
Failure delivery
Mail Delivery Subsystem
Symantec Security Response. Urgent!
Mail server changing information
A fertőzött levelek mellékletéhez tartozó fájl neve az alábbi listából kerül ki:
Base64_Encoded_Message
Error
Patch
Temporary_Account_Info
7. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton. Ezen keresztül a támadók az alábbi műveleteket hajthatják végre:
– billentyűleütések naplózása
– egérbeállítások módosítása
– vágólap kikapcsolása
– beviteli eszközök letiltása.
8. Leállítja az antivírus szoftverekhez és a különböző biztonsági alkalmazásokhoz tartozó folyamatokat.
9. Módosítja a hosts fájlt. Ezzel a fertőzött számítógépről weboldalakat tesz elérhetetlenné.
10. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
11. Letörli az alábbi fájlokat (amennyiben azok léteznek):
Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe
Norton AntiVirus\OPSCAN.EXE
srchasst\mui\0409\baloon.xsl
srchasst\mui\0409\bar.xsl
srchasst\mui\0409\lcladvdf.xml
Zone Labs\ZoneAlarm\MailFrontierZone Labs\ZoneAlarm\MailFrontier\mantispm.exe
12. Megjeleníti az alábbi üzenetablakot: