Storitve Windows onemogoči črv Annew.A
Črv Annew.A naredi nekaj sprememb v izbranih računalnikih in nato poskuša onemogočiti nekatere storitve ali programe Windows.
Črv Annew.A se širi predvsem z odstranljivimi mediji. Črv tudi ustvari datoteko na njih, ki se samodejno zažene, ko je medij nameščen. Ko se to zgodi, ustvari številne datoteke na sistemskem pogonu in nato spremeni register. To med drugim izklopi obnovitev sistema Windows.
Nato črv začne izvajati "spektakularne" operacije. Na primer, prikaže napačno sporočilo o napaki, spremeni besedilo v naslovni vrstici okna in ustavi procese za programe.
Ko se zažene črv Annew, izvede naslednja dejanja:
1. Ustvarite naslednje datoteke:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [ime datoteke] .exe
2. Kopirajte datoteko% SystemDrive% \ [ime datoteke] .exe z drugim imenom tolikokrat, ko se črv zažene.
3. Na izmenljivih diskih ustvarite datoteko autorun.inf, ki zagotavlja samodejni zagon črva, ko medij povežete z računalniki.
4. Ustvarite naslednje vnose v registracijski bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = “Explorer.exe% windir% \ msdos.pif”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run "MsnMsgr" = "% System% \ msnmsgr.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Zaženi "MsnMsgr" = "C: \ WINDOWS \ system32 \ msnmsgr.exe"
5. Spremenite naslednje vnose v registracijski bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System "DisableCMD" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"
6. Spremenite naslednje vnose v registracijski bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableSR" = "1"
To izklopi funkcijo obnovitve sistema Windows.
7. Spremenite naslednje vnose v registru:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “Norun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFind” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoSetFolders” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoLogoff” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Skrito” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Skrito” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "HideFileExt" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "HideFileExt" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
8. Prikaže sporočilo o napaki z naslovom »Application Error« in sporočilom »0xFFFFFFFF«.
9. V naslovno vrstico vsakega okna položite naslednje besedilo:
[^ _ ^ Protivirusni program ^ _ ^]
10. Ustavi procese, ki imajo v svojih imenih naslednje besede:
cmd
mconfig
naloga
proc
Hex
Vohun.
