A Kedebe féreg a biztonsági szoftverek réme

A Kedebe féreg második variánsa a fertőzött számítógépekről weboldalakat tesz elérhetetlenné.
Vírushírek a Biztonságportál támogatásával.

Az elsősorban elektronikus leveleken keresztül terjedő Kedebe.B nevű féreg leállítja az antivírus szoftverekhez és a különböző biztonsági alkalmazásokhoz tartozó folyamatokat. Ezzel jelentősen meggyengíti a számítógépek védelmét. A féreg a host fájlt is módosítja annak érdekében, hogy megakadályozza a biztonsági szoftverek fejlesztésével foglalkozó cégek weboldalainak megjelenítését.

Amikor a Kedebe.B féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza az alábbi fájlokat:
%System%\winssc32.exe
%System%\mscppmgr.exe
%System%\kerne132.exe
%System%\NAVMON.EXE
%System%\drwmgr32.exe
%System%\DLLH0ST.EXE
%System%\gcasctrl.exe
%System%\msscan.exe
%System%\cuApp.exe
%System%\LSSAS.EXE
%System%\AVmon.exe
%System%\SERVlCES.EXE
%System%\gcasSav32.exe
%System%\LUC0MS~1.EXE
%System%\zlbclient.exe
%System%\mantispam.exe
%System%\NETM0N.EXE
%System%\srvchost.exe
%System%\USRMGRINIT.JFX

2. Létrehoz egy ártalmatlan USRMGRINIT.JFX nevű szöveges fájlt a Windows System könyvtárába.

3. Az alábbi neveken bemásolja magát azokba a könyvtárakba, amelyek nevében a “shar” vagy az “users” szavak valamelyike szerepel.
Admin Password Cracker.exe
DVD ripper keygen.exe
Messenger 7.0 Installer.exe
Microsoft AntiSpyware Patch.com
Mydoom removal tool.exe
Naked teen-Actions.com
Norton Personal Firewall 2005 Patch.exe
Spyware remover.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
“Windows [féreg neve] Monitor” = “[féreghez tartozó fájl neve]” értéket.

5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja a
“Run” = “[féreghez tartozó fájl neve]” értéket.

6. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi magát.

A fertőzött levelek tárgya lehet:
Invalid MIME version indiacted.
Failure delivery
Mail Delivery Subsystem
Symantec Security Response. Urgent!
Mail server changing information

A fertőzött levelek mellékletéhez tartozó fájl neve az alábbi listából kerül ki:
Base64_Encoded_Message
Error
Patch
Temporary_Account_Info

7. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton. Ezen keresztül a támadók az alábbi műveleteket hajthatják végre:
– billentyűleütések naplózása
– egérbeállítások módosítása
– vágólap kikapcsolása
– beviteli eszközök letiltása.

8. Leállítja az antivírus szoftverekhez és a különböző biztonsági alkalmazásokhoz tartozó folyamatokat.

9. Módosítja a hosts fájlt. Ezzel a fertőzött számítógépről weboldalakat tesz elérhetetlenné.

10. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

11. Letörli az alábbi fájlokat (amennyiben azok léteznek):
Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe
Norton AntiVirus\OPSCAN.EXE
srchasst\mui\0409\baloon.xsl
srchasst\mui\0409\bar.xsl
srchasst\mui\0409\lcladvdf.xml
Zone Labs\ZoneAlarm\MailFrontierZone Labs\ZoneAlarm\MailFrontier\mantispm.exe

12. Megjeleníti az alábbi üzenetablakot: