Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Kedebe.C
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Kedebe.B realiza las siguientes acciones:

Finaliza los siguientes procesos, si se encuentran activos en memoria:

AGENTSVR.EXE, ANTIVIRUS.EXE, ASFAgent.exe, ATWATCH.EXE, avserve2.exe, CCAPP.EXE, CCEVTMGR.EXE, CCSETMGR.EXE, CLEAN.EXE, DAP.EXE, ESCANH95.EXE, EXANTIVIRUS-CNET.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FSAV530STBYB.EXE, gcasDtServ.exe, gcasServ.exe, gcasServAlert.exe, GIANTAntiSpywareMain.exe, GIANTAntiSpywareUpdater.exe, HACKTRACERSETUP.EXE, isafe.exe, KILLPROCESSSETUP161.EXE, LLSSev.exe, LUALL.EXE, LUCOMS~1.EXE, LUCOMSERVER.EXE, LXER32.VAV, MANTISPM.EXE, mantispm.exe, MCUPDATE.EXE, MSSMMC32.EXE, NAVAPSVC.EXE, NETMON.EXE, NETSPYHUNTER-1.2.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPFMNTOR.EXE, NPROTECT.EXE, NUPGRADE.EXE, OPScan.exe, OSTRONET.EXE, PENIS32.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, RESCUE.EXE, Rtvscan.exe, SHELLSPYINSTALL.EXE, SNDSrvc.exe, SPBBCSvc.exe, SPYXX.EXE, SYMPROXYSVC.EXE, TASKMGR.EXE, TRJSCAN.EXE, TROJANTRAP3.EXE, vsmon.exe, WATCHDOG.EXE, WEBSCANX.EXE, WHOSWATCHINGME.EXE, zlclient.exe, ZONALM2601.EXE, ZONEALARM.EXE.
Estos procesos pertenecen en su mayoría a herramientas de seguridad, como programas antivirus y cortafuegos, entre otros, y finalizarlos deja al ordenador afectado vulnerable frente al ataque de otro malware.
Impide que el usuario al usuario acceder a las siguientes páginas web, la mayoría de las cuales pertenecen a empresas de seguridad informática:
cm2.zonelabs.com
download.mcafee.com
download.zonelabs.com
downloads3.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
liveupdate.symantecliveupdate.com
mcafee.com
microsoft.com
networkassociates.com
securityresponse.symantec.com
sophos.com
symantec.com
update.zonelabs.com
updates.symantec.com
viruslist.com
windowsupdate.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.sophos.com
www.symantec.com
www.windowsupdate.com
www.zonelabs.com
zonelabs.com
Muestra en pantalla el siguiente mensaje cuando es ejecutado:

Metodo de Infección

Kedebe.C crea un archivo de nombre aleatorio, perteneciente a la siguiente lista, en el directorio de sistema de Windows:

AVMON.EXE, CUAPP.EXE, DLLH0ST.EXE, DWRMGR32.EXE, GCASCTRL.EXE, GCASSAV32.EXE, KERNE132.EXE, LSSAS.EXE, LUCOMS~2.EXE, MANTISPAM.EXE, MSCPPMGR.EXE, MSSCAN.EXE, NETM0N.EXE, SERV1CES.EXE, SRVCHOST.EXE, VMON.EXE, WINSSC32.EXE, WINXPLT.EXE, ZLBCLIENT.EXE.
Este archivo es una copia del gusano.

Kedebe.C borra los siguientes archivos, si existen:

GIANTANTISPYWAREMAIN.EXE, GIANTANTISPYWAREUPDATER.EXE, MANTISPM.EXE.

Kedebe.C modifica el archivo HOSTS, para impedir el acceso a determinadas páginas web.

Kedebe.C crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows %nombre-exe% Monitor = %sysdir%\ %nombre%

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows
Run = %sysdir%\ %nombre%
donde %sysdir% es el directorio de sistema de Windows, %nombre% es el nombre aleatorio de la copia del gusano, y %nombre-exe% es ese mismo nombre, pero sin la extensión EXE.
Mediante estas entradas, Kedebe.C consigue ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOrganization = The Kedebe Team. 2005
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOwner = BiniDogg

Método de Propagación

Kedebe.C se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

Llega al ordenador en un mensaje con las siguientes características:

Remitente:
Kedebe.C falsifica la dirección desde la que es enviado, componiéndola a partir de listas de nombres y dominios:
Posibles nombres: daniel_kqql, helen, helen_2002, helina_sexy, joe_ooql, michael, oamqel_99.
Posibles dominios: @gmail.com, @hotmail.com, @msn.com, @yahoo.com, aol.com, fastmail.fm, mail.com, myway.com, yahoo.co.qk.

Asunto: es variable.

Contenido: es variable.

Archivo adjunto: uno de los siguientes:
ADMIN PASSWORD CRACKER.EXE
DVD RIPPER KEYGEN.EXE
MESSENGER 7.0 INSTALLER.EXE
MICROSOFT ANTISPYWARE PATCH.COM
NAKED TEEN-ACTIONS.COM
NORTON PERSONAL FIREWALL 2005 PATCH.EXE
SPYWARE REMOVER.EXE
WIN SERVER 2003 REMOTE EXPLOIT.CMD
ZONEALARM SECURITY SUITE 2005 CRACK.COM
El ordenador queda afectado cuando se ejecuta el archivo adjunto.
Kedebe.C busca direcciones de correo electrónico en archivos con las siguientes extensiones: ABC, ASP, DHTM, DOC, EML, HTM, HTML, PHP, RTF, STM, TXT, VCF, WAB, XHHM.
Kedebe.C envía una copia de sí mismo a todas las direcciones que ha recogido.

Otros Detalles

Kedebe.C está escrito en el lenguaje de programación Visual Basic. Este gusano tiene un tamaño de 159866 Bytes, y está comprimido mediante UPX.

Kedebe.C crea los siguientes mutex, para asegurarse de que únicamente haya una copia del gusano activa. Además, consigue que no se ejecuten otros gusanos (particularmente Mytob y Netsky) que utilizan dichos nombres para sus propios mutex:

H-E-L-L-B-O-T

-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info