Virus Messenger - Črv Yahlover poškoduje požarni zid
Črv Yahlover.DH se širi po omrežnih delih in skuša razorožiti požarni zid računalnikov.
A Yahlover.DH Črv se širi predvsem prek omrežnih pogonov ali skupnih rab. Črv veliko spremeni v registru. Na primer, ustvarite ali spremenite nove vnose in izbrišete ključe. Med drugim lahko preprečite, da Windows Explorer prikaže vse datoteke, ki jih uporabljate za skrivanje v Raziskovalcu. Prav tako spremeni, da se izogne vgrajenemu požarnemu zidu sistema Windows.
Yahlover.DH prek interneta prenese in namesti dodatno zlonamerno programsko opremo na okužene računalnike.
Ko se črv Yahlover.DH zažene, izvede naslednja dejanja:
- Ustvarite naslednje datoteke:
% System% \ csrcs.exe
% Sistem% \ autorun.inf - V bazo podatkov o registraciji se dodajo naslednji vnosi:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run \
csrcs = “% System% \ csrcs.exe”
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Lupina = "Explorer.exe csrcs.exe"
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ fix = ""
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [naključni znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [naključni znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [naključni znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [naključni znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [naključni znaki] - Vpraša IP naslov okuženega računalnika.
- Poskušate okužiti dodatne računalnike po omrežju. V te datoteke kopira datoteke z naključnim imenom.
- Prenaša zlonamerne programe prek interneta.
- Onemogoči vgrajen požarni zid Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfile \ AuthorizedApplications \ List \
[ime datoteke črv] = [ime datoteke črvov]: *: omogočeno: Windows Life Messenger - Če želite razorožiti katero koli varnostno programsko opremo NOD32, ki se morda izvaja, spremenite register:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc_num = dword: 0000000c - Iz registracijske baze podatkov se izbrišejo naslednji vnosi:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Politike
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Ratings
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system - V registru spremenite naslednje vrednosti:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Skrita = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
SuperHidden = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Mapa \ Skrita \ SHOWALL \ CheckedValue = dword: 00000001
Ta skriva datoteke s skritimi in sistemskimi atributi v Raziskovalcu Windows.