Kedebe 蠕虫是一种安全软件恐怖

Kedebe 蠕虫的第二个变种使受感染计算机上的网站无法访问。
病毒新闻 安全门户 的支持下。

一种名为 Kedebe.B 的蠕虫主要通过电子邮件传播，它会停止与防病毒软件和各种安全应用程序相关的进程。 这大大削弱了对计算机的保护。 该蠕虫还会修改主机文件以防止安全软件开发公司显示网站。

当 Kedebe.B 蠕虫启动时，它会执行以下操作：

1. 创建以下文件：
%系统%\winssc32.exe
%系统%\mscppmgr.exe
%系统%\kerne132.exe
% 系统% \ NAVMON.EXE
%系统%\drwmgr32.exe
%系统%\DLLH0ST.EXE
%系统%\gcasctrl.exe
%系统%\msscan.exe
%系统%\cuApp.exe
%系统%\LSSAS.EXE
%系统%\AVmon.exe
% 系统% \ SERVlCES.EXE
%系统%\gcasSav32.exe
% 系统% \ LUC0MS ~ 1.EXE
%系统%\zlbclient.exe
%系统%\mantispam.exe
%系统%\NETM0N.EXE
%系统%\srvchost.exe
% 系统% \ USRMGRINIT.JFX

2. 在 Windows 系统目录中创建一个名为 USRMGRINIT.JFX 的无害文本文件。

3. 使用以下名称，将您自己复制到名称中包含单词“shar”或“users”之一的目录中。
管理员密码破解器.exe
DVD 开膛手 keygen.exe
Messenger 7.0 安装程序.exe
微软反间谍软件补丁.com
Mydoom 清除工具.exe
赤裸裸的 teen-Actions.com
诺顿个人防火墙 2005 Patch.exe
间谍软件卸载程序.exe
Win Server 2003 远程利用.cmd
ZoneAlarm 安全套件 2005 Crack.com

4.注册数据库
HKEY_LOCAL_MACHINE \ SOFTWARE \微软\的Windows \ CurrentVersion \ Run中
添加到您的密钥
“Windows [蠕虫名称] 监视器”=“[蠕虫文件名称]”。

5.注册数据库
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
添加到您的密钥
“运行”=“[蠕虫文件名称]”。

6. 从您自己转发到的具有不同扩展名的文件中收集电子邮件地址。

受感染叶子的主题可能是：
指示无效的 MIME 版本。
失败交货
邮件传递子系统
赛门铁克安全响应。 紧迫的！
邮件服务器更改信息

从以下列表中删除了附加到受感染邮件的文件名：
Base64_Encoded_Message
误差
打补丁
临时账户信息

7. 在随机选择的 TCP 端口上打开后门。 这允许攻击者执行以下操作：
- 击键记录
- 更改鼠标设置
- 关闭剪贴板
- 禁用输入设备。

8. 停止与杀毒软件和各种安全应用程序相关的进程。

9.修改hosts文件。 这使得受感染的计算机无法访问网页。

10. 创建一个互斥体，一次只在系统上运行一个实例。

11. 删除以下文件（如果有）：
Microsoft AntiSpyware \ GIANTAntiSpywareMain.exe
Microsoft AntiSpyware \ GIANTAntiSpywareUpdater.exe
诺顿杀毒软件\OPSCAN.EXE
srchasst \ mui \ 0409 \ baloon.xsl
srchasst \ mui \ 0409 \ bar.xsl
srchasst\mui\0409\lcladvdf.xml
Zone Labs \ ZoneAlarm \ MailFrontierZone Labs \ ZoneAlarm \ MailFrontier \ mantispm.exe

12. 显示以下消息框：