Trojanec Wnetpols se zelo drži

Iz okuženih računalnikov je trojance Wnetpols težko odstraniti.

A Wnetpols trojan naredi veliko sprememb v izbranih sistemih. Po ustvarjanju zlonamernih datotek okuži procese in še naprej deluje za njimi. Med drugim trojanski program s spreminjanjem registra zagotavlja, da požarni zid Windows ne moti internetnih povezav, ki jih ustvari. Nato odpre zadnja vrata, skozi katera lahko napadalci izvajajo različna zlonamerna dejanja.

Ena najslabših lastnosti Wnetpolsa je, da ga je zelo težko odstraniti iz okuženih računalnikov. To je zato, ker če uporabnik ali protivirusna programska oprema poskuša izbrisati svoje datoteke, bo takoj ustvaril nove. In če se storitev za vašega trojanca ustavi, se bo kmalu znova zagnala.

Ko se trojanec Wnetpols zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
   % System% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [naključne številke] .tmp
   % Windir% \ Temp \ wnp [naključne številke] .tmp
2. Okuži naslednje procese:
   winlogon.exe
   explorer.exe
   iexplore.exe
3. Ustvari naslednje vnose v registracijski bazi:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   »Windows
   Storitev upravitelja omrežnih pravil "="% System% \ wnpms.exe "
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   »Windows
   Storitev upravitelja omrežnih pravil "="% System% \ wnpms.exe "
4. V registru spremenite naslednje vrednosti:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Userinit" =
   "C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd "StartupPrograms" = "rdpclip, wnpms.exe"
5. Ustvari storitev z imenom »Windows Network Policy Manager Service«.
6. V bazo podatkov o registraciji dodajte naslednji ključ:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms
7. Če je katera od vaših datotek izbrisana, jo boste takoj obnovili.
8. Onemogoči vgrajeni požarni zid Windows s spreminjanjem registra:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Sistem% \ wnpms.exe ”
   = "% System% \ wnpms.exe: *: Omogočeno: storitev Windows Network Policy Manager"
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Windir% \ Explorer.EXE ”
   = "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: omogočeno: storitev Windows Network Manager Manager"
9. Ustvari dva muteksa za zagon le enega primerka na okuženem sistemu hkrati.
10. Nenehno spremlja svoj postopek in če se ustavi, se ponovno zažene.
11. Odpre zadnja vrata in počaka na ukaz napadalcev.