Antivirus posnema črv Phoney.A
Črv Phoney.A se širi predvsem prek skupnih omrežij in skuša ponarejati uporabnike s ponarejenimi protivirusnimi sporočili.
Črv Phoney.A kopira svoje datoteke v imenik v skupni rabi v vsakem omrežju in zagotavlja tudi, da se samodejno zažene, ko so nameščene. Črv naredi številne spremembe v registru. Znatno oslabijo zaščito računalnikov in postanejo nedostopna orodja, kot sta urejevalnik registra ali upravitelj opravil.
Črv Phoney.A prikaže ponarejeno, a zelo zavajajoče okno Norton AntiVirus in nato zagotovi, da se lahko naloži, tudi če se Windows zažene v varnem načinu. Druga nadležna in neprijetna značilnost zlonamerne programske opreme je, da okuženi računalnik znova zažene vsake pol ure.
Ko se črv Phoney.A zažene, izvede naslednja dejanja:
1. Ustvarite naslednje datoteke:
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% Trenutna mapa% \ [ime imenika] .exe
2. V korenskem imeniku vsakega nameščenega pogona ustvarite te datoteke:
AUTORUN.INF
microsoft.exe
3. V bazo podatkov o registraciji dodajte naslednje vnose:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run "Bron" = "% Windir% \ winxp.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Rontok" = "Explorer.exe"% Windir% \ winxp.exe ""
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Userinit" = "% System% \ userinit.exe,% Windir% \ winxp.exe"
4. V bazo podatkov o registraciji dodajte naslednje vnose:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer "NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Skrito” = “4”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "HideFileExt" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoClose" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoDesktop" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "Nofolderoptions" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Network "NoNetSetup" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”NoDispCPL” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ WinOldApp "Onemogoči =" 4 "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug ”Auto” = “” 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableSR" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer "DisableMSI" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(privzeta vrednost)” = “Datoteka mapa” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(Privzeta vrednost)” = “”% System% \ web.exe ”“% 1 ″% * ”
5. Spremenite register, da se naloži, ko zaženete Windows v varnem načinu, na naslednji način:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Sa feBoot ”AlternateShell” = “% System% \ web.exe”
6. Vsake pol ure znova zaženite računalnik.
7. Prikaže ponarejeno sporočilo Norton AntiVirus.
8. Zaprite okna, ki v naslovni vrstici vsebujejo določene besede.