|
W32/Kedebe.C, I.worm.Kedebe.C@mm
Kdebe.C es un destructivo gusano/backdoor reportado el 03 de mayo del 2005, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados, que usan la denominada Ingeniería Social simulando ser enviado por Symantec.
Termina los procesos de antivirus, firewalls y software de control, borra archivos del AntiSpyware de Microsoft y el firewall ZoneAlarm.
Modifica el archivo HOSTS para impedir el acceso a una extensa lista de sitios web relacionados a sistemas de seguridad y control.
Actuando como Backdoor abre un puerto TCP aleatorio desde el cual recibirá instrucciones de los intrusos.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 43 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
El gusano se envía a los buzones de correo de la Libreta de Direcciones de Windows y de los almacenados en los archivos con las extensiones:
Asimismo genera direcciones de correo falsas usando aleatoriamente uno de los nombres:
con cualquiera de los dominios:
Los mensajes tienen las siguientes características:
Remitente: falseado con la técnica Spoofing.
Asunto, uno de los siguientes:
Invalid MIME version indiacted.
Failure delivery
Mail Delivery Subsystem
Symantec Security Response. Urgent!
Mail server changing information
Patch,Temporary_Account_Info
Contenido, uno de los siguientes:
Invalid MIME version indicated. Original message has been sent as Base64 encoded attachment
Unable to deliver e-mail to the following user:
Reason: mail server rejected your e-mail due to unknown font type you used.(SMTP-ERROR: 453)
This is common to happen on some mail servers with no decoder currently installed. We recommend you to correct the errors indicated in the attachment and send again. If this problem continues
to happen, you can use our special-font to PDF convertor from the Web site .
Virtually yours
technical support team.
Dear customer,
We have been working hard to prevent you from computer Viruses, Trojan horses and Internet Worms.
But we have found a new and different computer Virus spreading through the Internet-which cannot
be detected by any AnitVirus softwares other than Norton
This Worm has been on the Internet since last month. Considering this, Symantec Security Response has prepared a 'Patch' that works for all AntiVirus softwares including, Sophos and McAfee
Symantec strongely recommend you to download and install
this patch.
But if your computer is already infected then this patch will not work. Furthermore, the new variant is hard to be removed after being infected. Do not wait untill your computer gets infected.
NOTE: This is a freeware. You can share it with any of your relatives, provided you keep the copy right notice "AS IS".
Symantec Security Response Team. All Rights Reserved.
Dear user,
This is to inform you that we are planning to clean the mail server
for Viruses. During this time the server may be down. So we have created a temporary mail account for you on a temporary server. In this case, your current ID,
will be used but you'll need to log on to another server. How to perform this operation, the temporary mail server address and your temporary mail ID is in the attached file.
Follow the clearly organised steps in the attachment to log on to our temporary mail server. Be careful! This server is going to be closed in about three days, as you might not be able to log on until we upgrade the server.
If you encounter any problem during the process, please contact:
Sorry for the inconveniences you encountered.
It has backdoor capabilities. It opens a random port and waits for commands from a malicious user.
Adjunto: [ejecutable_anexado]
Al activarse el gusano muestra una falsa caja de diálogo:
y se auto-copia a la carpeta %System% con uno de los siguiente nombres de archivo:
copia además a la misma carpeta un archivo con formato de texto con el nombre de USRMGRINIT.JFX el mismo que contiene este mensaje:
| Please, Symantec stop doing definitions for my worm. I'm trying to fight Mydoom and Beagle!! And I appriciate your work!! |
Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = "%System%\[ejecutable_anexado]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"default" = "%System%\[ejecutable_anexado]
al siguiente inicio del equipo el gusano verifica la existencia de los siguiente Mutex relacionados variantes de los gusanos Bagle, Mytob y Netsky:
luego termina con los procesos de los siguientes antivirus, firewalls y software de control:
también borra archivos del AntiSpyware de Microsoft y el firewall ZoneAlarm, revisando las siguientes rutas:
libera copias de sí mismo en las carpetas %Archivos de programa% y en %All Users% con los nombres:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%All Users% es la variable referida a C:\Documents and Settings\All Users.
Actuando como Backdoor abre un puerto TCP aleatorio desde el cual podrá recibir las siguientes instrucciones:
el gusano modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus:
El gusano modifica la información de registro de la organización o grupo de trabajo sobre-escribiendo:
|
RegisteredOrganization = "The Kebede Team 2005" RegisteredOwner = "BiniDogg" |
PER ANTIVIRUS® versión 9.2 con registro de virus al 03 de Mayo del 2005 detecta y elimina eficientemente este gusano/backdoor.
