| 词条 | 蠕虫病毒Win32.Kebede.I |
| 释义 | Win32/Kebede.I是一种发送大量邮件的蠕虫病毒,它从本地硬盘和Yahoo!邮件目录获取邮件地址。它能够下载并运行任意文件。 运行时,Kebede.I复制到%System%\\updtscheduler.exe,并生成以下注册表,以确保在每次系统启动时运行病毒 资料病毒名称:蠕虫病毒Win32.Kebede.I 其它名称:W32/Kebede!ITW#2 (WildList), Win32/Kebede.I!Worm, W32/Kebede.P@mm (F-Secure), W32/Kebede-F (Sophos), W32.Kedebe@mm (Symantec), Email-Worm.Win32.Kebede.m (Kaspersky) 病毒属性:蠕虫病毒 危害性:中等危害 流行程度:高 具体介绍: 感染方式HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ Software Update = "%System%\\updtscheduler.exe" 从以下任意选择: Microsoft Windows *Windows * 从以下任意选择: Scheduler Checker Monitor initializer 注册表键值可能修改为: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\Microsoft Windows Software Update Scheduler = "%System%/updtscheduler.exe" 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 它删除以下注册表: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 替换成以下键值: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run = "%System%\\updtscheduler.exe" 还会生成以下注册表键值: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Internet Settings\\ProxyEnabled = "FALSE" 当它第一次运行时,蠕虫生成一个文件%Temp%\\.txt,是当前运行的蠕虫副本的文件名,减去任一扩展名。例如,如果蠕虫运行的文件是Jack_details.rtf.exe,那么就会生成%Temp%\\Jack_details.txt文件。 注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\\\Local Settings\\Temp",或"C:\\WINDOWS\\TEMP"。 这个文件包含以下内容: This document was written using an older versions of Notepad. Please install a converter or try to view the document on another machine. 蠕虫使用记事本显示这个文件,随后删除这个文件: 传播方式通过邮件传播 Kebede.I为了获取邮件地址而扫描文件。它检查带有以下扩展名的文件内容: .abc .asp .cgi .css .dbx .dhtm .doc .eml .htm .inbox .js .msg .nws .oft .pab .php .phtm .rtf .shtm .stm .txt .vcf .wab .xhtm .xml .xsl 它还会尝试获取已经被用户使用字母或不同的字符替换'@' 和 '.'的邮件地址,例如: at _at_ -at- )at( (at) [at] [at] [note spaces] dot -dot- [dot] (dot) (at-sign) (atsign) _@_ -@- @ [note spaces] @@ )@( <@> (@) nonspam. non-spam. 病毒忽略包含以下字符串的地址: .gov .mil @ca. @drsolom @from @mm @nai @novast @syman @trend abuse accoun admin announce anyone anywhere aol. avp berkeley. bitdefender borlan bugs cai. commandc comment contact detect domain. drweb esafe example feedback foo. freeav gmail. help ikaru info@ irisav java. kasper kernel. linux mailer-daem master@ mcafee me@ messagelab mit.ed mozilla msdn. name@ networkass news no-reply nobody noreply norman norton office@ online pandasof password privacy rating receiver@ registe remail report resear rg-av sales@ sarc. scan secur sender@ service smtp. soft. somebody someone sopho spam spm spybot spyware sql. submit subscri sun. support thunderbyte. unix update upgrade user@ virus winrar winzip www you@ your zone Kebede.I还会在http://email.people.yahoo.com/ 上执行搜索来获取邮件地址。并将结果临时保存在%Profile%/\\LOCALS~1\\Applic~1\\Microsoft\\Web Results[8 digit number].webkbd。 获取的邮件地址保存到%Profile%\\LocalS~1\\Applica~1\\mllib.bdg。蠕虫发送邮件到文件中的所有地址后,就会删除这个文件。随后获取更多的地址,再次保存到%Profile%\\LocalS~1\\Applica~1\\mllib.bdg。 同时发送到获取的邮件地址,它还会发送一个通知邮件到yahoo域上的一个特定的邮件地址。 蠕虫执行DNS MX查询找到一个适合的邮件服务器来发送邮件,它使用本地默认的DNS服务器执行DNS MX查询。如果通过本地系统无法找到DNS服务器,它就会尝试猜测邮件服务器,通过添加收件域名到以下直到成功: mx. mx1. mail. mx1.mail. smtp. ns. relay. Kebede.I发送的邮件特征是可变的。 病毒添加.cab (cabinet)压缩文件到邮件中,并附加上以下任一扩展名: .exe .scr .pif .cmd .com .bat 针对每个收件人,病毒随意使用一个伪造的邮件服务器,病毒邮件内容如下: 主题: Jack Bauer cannot make it in season 6! 发件人: FOX - 24 Team <24team@fox.com> 邮件内容Due to aging problem and heart attack in season 2 of 24, Jack Bauer(Kiefer Sutherland) cannot be in season 6. Details of Bauer's status is attached. 20th Century FOX 附件: jack_bauer.cab 恶意文件名称(包含在cabinet 文件中): Jack_details.txt. 病毒也可能选择以下邮件主题和发件人: 主题: Internal Mail Server Error 发件人: Webmaster <webmaster@[recipientdomain]> 主题: Delivery Status Notification(failure) 发件人: Server Administrator <administrator@[recipientdomain]> 主题: Mail Error: Server unavailable 发件人: Mail administrator <administrator@[recipientdomain]> 主题: **MAIL ERROR** 发件人: Postmaster <postmaster@[recipientdomain]> 这些可变的主题使用以下任一邮件内容和附件组合: 邮件内容: Unexpected error occured while delivering your message. The remote server refused to connect. See the transcipt. Cabinet Filename: report.cab Malware Filename: reported.doc. ----- 邮件内容: Unexpected end of header found. As a result, we are unable to decode the message. Partial decoded message available. Cabinet Filename: _reports.cab Malware Filename: partial_body. ----- 邮件内容: Error: Server not responding. See the attached printable document. Cabinet Filename: mail_error.cab Malware Filename: error.doc. ----- 邮件内容: mail session 220334(http://www./sessionid.cgi?okssid23234=r has expiered. Your status is attached Cabinet Filename: _detailed_report.cab Malware Filename: status.txt. 以下是病毒邮件样本示例: 通过文件共享传播 Kebede.I在被感染机器的C:盘的每个目录中都放一个病毒副本,除了包含'all users'字符串的完整的路径名。 每次制造一个副本,蠕虫都从以下文件名中任选一个: Spyware remover.com School girls getting fucked.com Norton Personal Firewall 2005 Patch.com ZoneAlarm Security Suite 2005 Crack.com Windows XP Pro BUG FIX 2.com Win Server 2003 Remote Exploit.cmd Sasser removal tool.com Microsoft AntiSpyware Patch.com DVD ripper keygen.com Naked girls screen saver.scr Turbo C++.pif porn download links.txt .exe Sasser Source code.txt .exe MSN Messenger 7.0 Installer.com Sasser Source Code.Sfx.com WinRAR 4.2.com Internet Explorer 7.0 Installer.com Flash MX 2005 Serial.exe UPX EXE packer 2.4.com W32.Kebede Removal tool.com 蠕虫还可能复制以下文件到它运行的相同目录: True Sex Stories.txt .exe 这个显示出病毒尝试通过点对点文件共享软件进行复制,或者通过网络共享从被感染系统传染到其它系统。 危害下载并运行任意文件 Kebede.I从 http://www.geocities.com/kbdbugchk/ 下载一个文件,并保存到 %Temp%/file.exe,随后运行它。 删除文件 Kebede.I尝试删除以下文件,与Windows Search Assistant有关: %Windows%\\srchasst\\mui\\0409\\lcladvdf.xml %Windows%\\srchasst\\mui\\0409\\balloon.xsl %Windows%\\srchasst\\mui\\0409\\bar.xsl 防止访问系统应用 蠕虫打开以下文件,并不关闭他们: %System%\\taskmgr.exe %Windows%\\regedit.exe %System%\\tasklist.exe %System%\\taskkill.exe %System%\\tskill.exe 因此,用户后来再运行这些程序就会失败。用户会收到一个系统信息,程序已经在使用。 其它信息Kebede.I将工作资料保存到以下文件: %Temp%\\wabtemp.tmp %Temp%\\tempotemp0fclosed.tmp 清除: KILL安全胄甲Vet 30.3.3262版本可检测/清除此病毒。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。