Črv Hannuch je trik z operacijskim sistemom Windows

Črv Hannuch.A se po spremembi določenih nastavitev v sistemu Windows poskuša razširiti na bliskovne pogone.

A Hannuch.A črv se širi v obliki datoteke, imenovane copy.exe, predvsem prek izmenljivih pogonov. Ko je v računalniku, ustvari datoteko v enem od sistemskih imenikov sistema Windows in nato poskrbi, da se lahko samodejno zažene vsakič, ko se operacijski sistem naloži.

Hannuch.A naredi več sprememb v registracijski bazi podatkov. Po eni strani Windows 2000 onemogoča odjavo običajnih uporabniških prijav iz operacijskega sistema. Odstrani tudi »Nastavitve map« iz Mojega računalnika, kar otežuje odstranitev. To je zato, ker črv ponuja svojo datoteko s skritim atributom in s tem preprostim trikom poskuša ostati neviden.

Ko se trojanec Hannuch.A zažene, izvede naslednja dejanja:

1. Odpre Windows Explorer in ustvari naslednjo datoteko:
   % System% \ vhchosts.exe
2. V registracijski bazi ustvarite naslednji vnos:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ systray = "vhchosts.exe"
   HKCU \ Software \ chunhan \\\ gay = “[trenutni dan v mesecu]”
3. Razširi se preko izmenljivih pogonov. Na njih kopira datoteko copy.exe in avtorun.inf.
4. S spremembo registra onemogočite možnost »odjava« v sistemu Windows:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
   NoLogoff = "00000001"
   Ta sprememba velja samo za Windows 2000.
5. Spremenite registracijsko bazo podatkov na naslednji način:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
   NoFolderOptions = "00000001"
6. V vašo datoteko doda skrit atribut.