Črv Badday divja na odložišču
Badday.Črv se razširi predvsem na odstranljive in omrežne pogone ter na okuženih računalnikih izvaja številna nadležna dejanja.
Badday.Crv ustvari veliko datotek v izbranih računalnikih in ustvari ali spremeni vsaj toliko vnosov v register. Zaradi teh sprememb sta med drugim nedostopna Windows Task Manager in urejevalnik registra.
V nekaterih primerih črv zapre okna in nenehno spreminja vsebino odložišča, kar okuženega uporabnika računalnika ne more motiti.
Ko se črv Badday.A zažene, izvede naslednja dejanja:
1. Ustvarite naslednje datoteke:
% Windir% \ Media \ StartUp \ scvhost.exe
% System% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys
2. Na pogon CK kopirajte naslednje datoteke:
% pogona je% \ New_Folder.exe
% črka pogona% \ autorun.inf
% črka pogona je% \ cool data.exe
% črka pogona% \ Nova mapa (4) .exe
% pogon je% \ dataku.exe
% črka pogona% \ data kuliah.exe
% črka pogona% \ Nova mapa (5) .exe
% pogona je% \ system.exe
% črka pogona% \ funny doc.exe
3. Izdelajte si kopije, kot sledi:
% trenutni imenik% \ jangan dihapus .exe
% trenutni imenik% \ my sweety .exe
% trenutni imenik% \ foto cewek .exe
% trenutni imenik% \ kekasishku .exe
% trenutni imenik% \ data penting .exe
% trenutni imenik% \ downlodan .exe
% trenutni imenik% \ update antivir .exe
% trenutni imenik% \ kumulan program .exe
% trenutni imenik% \ movie bkp .exe
% trenutni imenik% \\\ itip .exe
% trenutni imenik% \ možnost mape .exe
4. V bazo podatkov o registraciji dodajte naslednje vnose:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile "NeverShow Ext" = ""
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ App Path \ WindowsProfile.EXE "(privzeto)" = "% Windir% \ Media \ StartUp \ scvhost.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ system "NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Zaženi "WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run "Printer Cpl" = "% Windir% \ spool32.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ Curren tVersion \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer "DisableMSI" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main ”Window Title” = “>> Imejte slab dan <<“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Uporabniške mape lupine “Startup” = “% Windir% \ Media \ StartUp”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFind” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoRun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Zaženi "Microsoft Word" = "% System% \ hostdll.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ system "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ system "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"
5. Spremenite naslednje vrednosti v registracijski bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile "(privzeto)" = "Mapa mape"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile "TileInfo" = "prop: DocComments"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”InfoTip” = “prop: DocComments”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \\\ egfile \ shell \ open \ command "(privzeto)" = "cmd.exe / c za"% 1 ″ "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion “RegisteredOrganization” = “vaš sistem je moj”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion "RegisteredOwner" = "vaš sistem je moj"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Shell" = "Explorer.exe, C: \ WINDOWS \ system32 \ taskfile.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Skrito” = “2”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "HideFileExt" = 1 ″
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ClassicViewState" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer ”NoDriveTypeAutoRun” = “5B”
6. Poiščite datoteke z naslednjimi priponami:
.doc
. Mpg
.3 str
.wmv
. Rar
. Jpg
. TXT
Kopirate jih tako, da imen datotek dodate pripono .exe.
7. Zaprite okna, ki imajo v naslovni vrstici eno od naslednjih besed:
ubiti
ugrabitvijo
reg
Postopek
8. Nadaljujte s kopiranjem “Have a Bad Day” v odložišče.
