Komunikator wirusów — zapora sieciowa jest uszkodzona przez robaka Yahlover
Robak Yahlover.DH rozprzestrzenia się za pośrednictwem udziałów sieciowych i próbuje wyłączyć zapory sieciowe na komputerach.
A Yahlover.DH Robak rozprzestrzenia się głównie za pośrednictwem dysków sieciowych lub udziałów. Robak wprowadza wiele zmian w rejestrze. Na przykład tworzysz lub modyfikujesz nowe wpisy i usuwasz klucze. Między innymi możesz uniemożliwić Eksploratorowi Windows wyświetlanie wszystkich plików używanych do ukrycia w Eksploratorze Windows. Wprowadza również zmiany, aby ominąć wbudowaną zaporę systemu Windows.
Yahlover.DH pobiera i instaluje dodatkowe złośliwe oprogramowanie na zainfekowanych komputerach za pośrednictwem Internetu.
Po uruchomieniu robak Yahlover.DH wykonuje następujące czynności:
- Utwórz następujące pliki:
% System% \ csrcs.exe
% System% \ autorun.inf - Do bazy danych rejestracyjnych dodawane są następujące wpisy:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer \ Run \
csrcs = „% System% \ csrcs.exe”
HKLM \ OPROGRAMOWANIE \ Microsoft \ Windows NT \ Bieżąca wersja \ Winlogon \
Powłoka = „Explorer.exe csrcs.exe”
HKLM \ OPROGRAMOWANIE \ Microsoft \ DRM \ amty \ fix = „”
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [losowe znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [losowe znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [losowe znaki]
HKLM \ OPROGRAMOWANIE \ Microsoft \ DRM \ amty \ eggol = [losowe znaki]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [losowe znaki] - Przeszukuje adres IP zainfekowanego komputera.
- Próbujesz zainfekować dodatkowe komputery przez sieć. Kopiuje do nich pliki o losowej nazwie.
- Pobiera szkodliwe programy przez Internet.
- Wyłącza wbudowaną zaporę systemu Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Usługi \ SharedAccess \ Parametry \ FirewallPolicy \
Profil standardowy \ Autoryzowane aplikacje \ Lista \
[nazwa pliku robaka] = [nazwa pliku robaka]: *: Włączone: Windows Life Messenger - Aby rozbroić jakiekolwiek oprogramowanie zabezpieczające NOD32, które może być uruchomione, zmodyfikuj rejestr:
HKLM \ OPROGRAMOWANIE \ ESET \ Nod \ CurrentVersion \ Moduły \ AMON \ Ustawienia \
Config000 \ Ustawienia \ media_network = dword: 00000000
HKLM \ OPROGRAMOWANIE \ ESET \ Nod \ CurrentVersion \ Moduły \ AMON \ Ustawienia \
Config000 \ Ustawienia \ exc = […]
HKLM \ OPROGRAMOWANIE \ ESET \ Nod \ CurrentVersion \ Moduły \ AMON \ Ustawienia \
Config000\Ustawienia\exc_num = dword: 0000000c - Z bazy danych rejestracji usuwane są następujące wpisy:
HKCU \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Polityki
HKLM \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ polityki \ Oceny
HKLM \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ polityki \ system - Zmodyfikuj następujące wartości w rejestrze:
HKCU \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane \
Ukryty = dword: 00000002
HKCU \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane \
Superukryty = dword: 00000000
HKCU \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane \
ShowSuperHidden = dword: 00000000
HKLM \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Explorer \ Zaawansowane \
Folder \ Hidden \ SHOWALL \ CheckedValue = dword: 00000001
Ukrywa to pliki z atrybutami ukrytymi i systemowymi w Eksploratorze Windows.