Izberite Stran

Antivirus posnema črv Phoney.A

Napisal: | 2007. julij 24 | | 0 |

Črv Phoney.A se širi predvsem prek skupnih omrežij in skuša ponarejati uporabnike s ponarejenimi protivirusnimi sporočili.

Črv Phoney.A kopira svoje datoteke v imenik v skupni rabi v vsakem omrežju in zagotavlja tudi, da se samodejno zažene, ko so nameščene. Črv naredi številne spremembe v registru. Znatno oslabijo zaščito računalnikov in postanejo nedostopna orodja, kot sta urejevalnik registra ali upravitelj opravil.

Črv Phoney.A prikaže ponarejeno, a zelo zavajajoče okno Norton AntiVirus in nato zagotovi, da se lahko naloži, tudi če se Windows zažene v varnem načinu. Druga nadležna in neprijetna značilnost zlonamerne programske opreme je, da okuženi računalnik znova zažene vsake pol ure.

Ko se črv Phoney.A zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% Trenutna mapa% \ [ime imenika] .exe

2. V korenskem imeniku vsakega nameščenega pogona ustvarite te datoteke:
AUTORUN.INF
microsoft.exe

3. V bazo podatkov o registraciji dodajte naslednje vnose:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run "Bron" = "% Windir% \ winxp.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Rontok" = "Explorer.exe"% Windir% \ winxp.exe ""
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Userinit" = "% System% \ userinit.exe,% Windir% \ winxp.exe"

4. V bazo podatkov o registraciji dodajte naslednje vnose:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer "NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Skrito” = “4”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "HideFileExt" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoClose" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoDesktop" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "Nofolderoptions" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Network "NoNetSetup" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”NoDispCPL” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ WinOldApp "Onemogoči =" 4 "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug ”Auto” = “” 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableSR" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer "DisableMSI" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(privzeta vrednost)” = “Datoteka mapa” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”

5. Spremenite register, da se naloži, ko zaženete Windows v varnem načinu, na naslednji način:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Sa feBoot ”AlternateShell” = “% System% \ web.exe”

6. Vsake pol ure znova zaženite računalnik.

7. Prikaže ponarejeno sporočilo Norton AntiVirus.

8. Zaprite okna, ki v naslovni vrstici vsebujejo določene besede.

Branje: 2

Ukrep:

O avtorju

Clingers

Sorodne objave

Nadaljevale so se dodatne težave s sledenjem žarkom

Nadaljevale so se dodatne težave s sledenjem žarkom

2019-02-15

IP naslov za vse svetilke!

IP naslov za vse svetilke!

2011-05-19

Prenosljiva demo različica Starcaft 2!

Prenosljiva demo različica Starcaft 2!

2010-12-22

Naložljiv Google Chrome 16

Naložljiv Google Chrome 16

2011-12-13

banner

Kupi BestGear

oglas

ranvee

Gospodinjski aparati Ranvee