Robak Hannuch to sztuczka w systemie Windows
Robak Hannuch.A próbuje rozprzestrzeniać się na dyskach flash po zmianie pewnych ustawień w systemie Windows.
A Hannuch.A Robak rozprzestrzenia się w postaci pliku o nazwie copy.exe, głównie poprzez dyski wymienne. Raz na komputerze tworzy na nim plik w jednym z katalogów systemu Windows, a następnie upewnia się, że może uruchamiać się automatycznie przy każdym załadowaniu systemu operacyjnego.
Hannuch.A wprowadza kilka zmian w bazie danych rejestracyjnych. Z jednej strony w systemie Windows 2000 uniemożliwia wylogowanie zwykłych użytkowników z systemu operacyjnego. Usuwa również „Ustawienia folderów” z mojego komputera, co utrudnia ich usunięcie. Dzieje się tak, ponieważ robak udostępnia swój własny plik z ukrytym atrybutem i próbuje pozostać niewidocznym za pomocą tej prostej sztuczki.
Po uruchomieniu trojan Hannuch.A wykonuje następujące działania:
- Otwiera Eksploratora Windows i tworzy następujący plik:
% System% \ vhchosts.exe - Utwórz następujący wpis w bazie danych rejestracji:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ systray = „vhchosts.exe”
HKCU \ Software \ chunhan \\\ gay = „[bieżący dzień miesiąca]” - Rozprzestrzenia się poprzez dyski wymienne. Kopiuje na nie plik o nazwie copy.exe i autorun.inf.
- Modyfikacja rejestru wyłącza opcję „wyloguj” w systemie Windows:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
Bez wylogowania = „00000001”
Ta zmiana obowiązuje tylko w systemie Windows 2000. - Zmodyfikuj bazę danych rejestracji w następujący sposób:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoFolderOptions = „00000001” - Dodaje ukryty atrybut do własnego pliku.