Usługi Windows są wyłączone przez robaka Annew.AA

Robak Annew.A dokonuje wielu zmian na wybranych komputerach, a następnie próbuje wyłączyć niektóre usługi lub aplikacje systemu Windows.

Robak Annew.A rozprzestrzenia się głównie za pośrednictwem nośników wymiennych. Robak tworzy również na nich plik, który uruchamia się automatycznie po zamontowaniu nośnika. Gdy to nastąpi, tworzy pewną liczbę plików na dysku systemowym, a następnie modyfikuje rejestr. Wyłącza to między innymi Przywracanie systemu Windows.

Robak zaczyna wtedy wykonywać „spektakularne” operacje. Na przykład wyświetla fałszywy komunikat o błędzie, zmienia tekst na pasku tytułu okien i zatrzymuje procesy aplikacji.

Po uruchomieniu robak Annew wykonuje następujące czynności:

1. Utwórz następujące pliki:
% UserProfile% \ Dane aplikacji \ Microsoft \ Internet Explorer \ Szybkie uruchamianie \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [nazwa pliku] .exe

2. Skopiuj plik% SystemDrive% \ [nazwa_pliku] .exe pod inną nazwą tyle razy, ile razy uruchomi się robak.

3. Utwórz plik autorun.inf na dyskach wymiennych, który zapewni automatyczne uruchamianie robaka po podłączeniu nośnika do komputerów.

4. Utwórz następujące wpisy w bazie danych rejestracji:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = „Explorer.exe% windir% \ msdos.pif”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run ”MsnMsgr” = „% System% \ msnmsgr.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Bieżąca wersja \ Uruchom ”MsnMsgr” = „C: \ WINDOWS \ system32 \ msnmsgr.exe”

5. Zmodyfikuj następujące wpisy w bazie danych rejestracji:
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ System ”DisableRegistryTools” = „1”
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ System ”DisableCMD” = „1”
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ System ”DisableTaskMgr” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”DisableRegistryTools” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”DisableCMD” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ”DisableTaskMgr” = „1”

6. Zmodyfikuj następujące wpisy w bazie danych rejestracji:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore „DisableConfig” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore „DisableSR” = „1”

Spowoduje to wyłączenie funkcji przywracania systemu Windows.

7. Zmodyfikuj następujące wpisy w bazie danych rejestracji:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoFolderOptions” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „Norun” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoFind” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoSetFolders” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoLogoff” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane „Ukryty” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane „Ukryty” = „0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „HideFileExt” = „0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „HideFileExt” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane „ShowSuperHidden” = „1”
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane „ShowSuperHidden” = „0”

8. Wyświetla komunikat o błędzie zatytułowany „Błąd aplikacji” i komunikat „0xFFFFFFFF”.

9. Umieść następujący tekst w pasku tytułu każdego okna:
[^ _ ^ Antywirus ^ _ ^]

10. Zatrzymuje procesy, które mają w nazwie następujące słowa:
cmd
mkonfiguracja
zadanie
Proc
Hex
Szpieg.