Trojan Wnetpols jest bardzo przyczepny

Trojany Wnetpols są dość trudne do usunięcia z zainfekowanych komputerów.

A Wnetpols Trojan dokonuje wielu zmian w wybranych systemach. Po utworzeniu szkodliwych plików infekuje procesy i nadal działa za nimi. Modyfikując rejestr, trojan między innymi zapobiega zakłócaniu przez Zaporę systemu Windows tworzonych przez nią połączeń internetowych. Następnie otwiera tylne drzwi, przez które atakujący mogą wykonywać różne złośliwe działania.

Jedną z najgorszych cech Wnetpols jest to, że bardzo trudno jest je usunąć z zainfekowanych komputerów. Dzieje się tak, ponieważ jeśli użytkownik lub oprogramowanie antywirusowe spróbuje usunąć swoje pliki, natychmiast utworzy nowe. A jeśli usługa dla twojego trojana zostanie zatrzymana, wkrótce uruchomi się ponownie.

Po uruchomieniu trojan Wnetpols wykonuje następujące działania:

1. Utwórz następujące pliki:
   % System% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [liczby losowe] .tmp
   % Windir% \ Temp \ wnp [liczby losowe] .tmp
2. Infekuje następujące procesy:
   winlogon.exe
   explorer.exe
   iexplore.exe
3. Tworzy następujące wpisy w bazie danych rejestracji:
   HKEY_LOCAL_MACHINE \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Uruchom \
   „Windows
   Usługa Menedżera zasad sieciowych ”=„% System% \ wnpms.exe ”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   „Windows
   Usługa Menedżera zasad sieciowych ”=„% System% \ wnpms.exe ”
4. Zmodyfikuj następujące wartości w rejestrze:
   HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit” =
   "C:\WINDOWS\system32\userinit.exe, wnpms.exe"
   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Serwer terminalowy \ Wds \\\ dpwd ”StartupPrograms” = „rdpclip, wnpms.exe”
5. Tworzy usługę o nazwie „Usługa Menedżera zasad sieci systemu Windows”.
6. Dodaje następujący klucz do bazy danych rejestracji:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Usługi \ wnpms
7. Jeśli którykolwiek z twoich plików zostanie usunięty, zostanie natychmiast przywrócony.
8. Wyłączenie wbudowanej zapory systemu Windows poprzez modyfikację rejestru:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Usługi \ SharedAccess \ Pa
   parametry \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   System% \ wnpms.exe ”
   = "% System% \ wnpms.exe: *: Włączone: Usługa Menedżera zasad sieciowych systemu Windows"
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Usługi \ SharedAccess \ Pa
   parametry \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Windir% \ Explorer.EXE ”
   = "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Włączone: Usługa Menedżera zasad sieciowych systemu Windows"
9. Tworzy dwa muteksy, aby uruchomić tylko jedną instancję na raz w zainfekowanym systemie.
10. Stale monitoruje swój proces, a jeśli się zatrzyma, sam się restartuje.
11. Otwiera tylną bramę i czeka na rozkazy napastników.