Wybierz stronę

Antywirus jest naśladowany przez robaka Phoney.A

Scenariusz: | 2007 lipca 24 | | 0 |

Robak Phoney.A rozprzestrzenia się głównie za pośrednictwem udziałów sieciowych i próbuje oszukać użytkowników za pomocą fałszywych wiadomości antywirusowych.

Robak Phoney.A kopiuje własne pliki do współdzielonego katalogu w każdej sieci, a także zapewnia automatyczne uruchamianie się po ich zamontowaniu. Robak wprowadza liczne zmiany w rejestrze. Znacznie osłabiają ochronę komputerów i uniemożliwiają dostęp do narzędzi takich jak Edytor rejestru czy Menedżer zadań.

Robak Phoney.A wyświetla fałszywe, ale bardzo zwodnicze okno programu Norton AntiVirus, a następnie zapewnia, że ​​może się ono załadować, nawet jeśli system Windows uruchamia się w trybie awaryjnym. Inną irytującą i niewygodną cechą złośliwego oprogramowania jest ponowne uruchamianie zainfekowanego komputera co pół godziny.

Po uruchomieniu robak Phoney.A wykonuje następujące czynności:

1. Utwórz następujące pliki:
C: \ Dokumenty i ustawienia \ Wszyscy użytkownicy \ Menu Start \ Programy \ Autostart \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [nazwa katalogu] .exe

2. Utwórz następujące pliki w katalogu głównym każdego zamontowanego dysku:
AUTORUN.INF
microsoft.exe

3. Dodaj następujące wpisy do bazy danych rejestracji:
HKEY_LOCAL_MACHINE \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Uruchom „Bron” = „% Windir% \ winxp.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Rontok” = „Explorer.exe„% Windir% \ winxp.exe ””
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit” = „% System% \ userinit.exe,% Windir% \ winxp.exe”

4. Dodaj następujące wpisy do bazy danych rejestracji:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer ”NoFolderOptions” = „1”
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Polityki \ System ”DisableRegistryTools” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System ”DisableTaskMgr” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane „Ukryty” = „4”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „HideFileExt” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane „ShowSuperHidden” = „0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoClose” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoDesktop” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „Nofolderoptions” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Polityki \ Sieć „NoNetSetup” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”DisableCMD” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”DisableRegistryTools” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”DisableTaskMgr” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”NoDispCPL” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ WinOldApp ”Wyłącz =„ 4 ”
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug ”Auto” = „” 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore „DisableConfig” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore „DisableSR” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Instalator „DisableMSI” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Instalator ”LimitSystemRestoreCheckpointing” = „1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(Wartość domyślna)” = „”% System% \ web.exe ”„% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Wartość domyślna)” = „”% System% \ web.exe ”„% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(Wartość domyślna)” = „Folder plików” = „”% System% \ web.exe ”% 1 ″% *”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(Wartość domyślna)” = „”% System% \ web.exe ”„% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(Wartość domyślna)” = „”% System% \ web.exe ”% 1 ″% * ”

5. Zmodyfikuj rejestr, aby ładował się po uruchomieniu systemu Windows w trybie awaryjnym, w następujący sposób:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot „AlternateShell” = „% System% \ web.exe”

6. Restartuj komputer co pół godziny.

7. Wyświetla fałszywe okno komunikatu Norton AntiVirus.

8. Zamknij okna zawierające określone słowa na pasku tytułu.

Czytanie: 2 027

Mierzyć:

O autorze

Czepiaki

powiązane posty

Pojawiły się dalsze trudności z ray tracingiem

Pojawiły się dalsze trudności z ray tracingiem

2019-02-15

Adres IP dla wszystkich opraw!

Adres IP dla wszystkich opraw!

2011-05-19

Wersja demo Starcaft 2 do pobrania!

Wersja demo Starcaft 2 do pobrania!

2010-12-22

Google Chrome do pobrania 16

Google Chrome do pobrania 16

2011-12-13

transparent

KupNajlepszy sprzęt

Ogłoszenie

Ranvee

Sprzęt AGD Ranvee