Trojanac Wnetpols vrlo je privržen

Trojance Wnetpols-a može biti prilično teško ukloniti sa zaraženih računala.

A Wnetpols trojanac unosi brojne promjene u odabrane sustave. Nakon stvaranja zlonamjernih datoteka, zaražava procese i nastavlja raditi iza njih. Između ostalog, mijenjanjem registra, trojanski program osigurava da vatrozid Windows ne ometa internetske veze koje stvara. Tada se otvaraju stražnja vrata kroz koja napadači mogu izvoditi razne zlonamjerne radnje.

Jedna od najgorih značajki Wnetpols-a je ta što ga je vrlo teško ukloniti sa zaraženih računala. To je zato što ako korisnik ili antivirusni softver pokuša izbrisati svoje datoteke, odmah će stvoriti nove. A ako se usluga za vaš trojanski program zaustavi, uskoro će se ponovo pokrenuti.

Kada se Wnetpols Trojanac pokrene, izvršava sljedeće radnje:

1. Stvorite sljedeće datoteke:
   % Sustav% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [slučajni brojevi] .tmp
   % Windir% \ Temp \ wnp [slučajni brojevi] .tmp
2. Inficira sljedeće procese:
   Winlogon.exe
   explorer.exe
   iexplore.exe
3. Stvara sljedeće unose u bazi podataka za registraciju:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   “Prozori
   Usluga upravitelja mrežnih pravila” = “%System%\wnpms.exe”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   “Prozori
   Usluga upravitelja mrežnih pravila” = “%System%\wnpms.exe”
4. Izmijenite sljedeće vrijednosti u registru:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Userinit" =
   “C:\WINDOWS\system32\userinit.exe, wnpms.exe”
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe”
5. Stvara uslugu pod nazivom "Usluga upravitelja mrežnih pravila sustava Windows".
6. Dodajte sljedeći ključ u bazu podataka za registraciju:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms
7. Ako se neka od vaših datoteka izbriše, odmah ćete je oporaviti.
8. Onemogućava ugrađeni vatrozid za Windows izmjenom registra:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Sustav% \ wnpms.exe ”
   = “%System%\wnpms.exe:*:Enabled:Windows Network Policy Manager Service”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Windir% \ Explorer.EXE ”
   = “%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Omogućeno:Usluga upravitelja mrežnih pravila sustava Windows”
9. Stvara dva muteksa za istodobno pokretanje samo jedne instance na zaraženom sustavu.
10. Stalno nadgleda vlastiti postupak, a ako se zaustavi, sam se ponovno pokreće.
11. Otvara zadnja vrata i čeka naredbe napadača.