Virus Messenger - crv Yahlover oštetio je vatrozid
Crv Yahlover.DH širi se mrežnim udjelima i pokušava razoružati vatrozid računala.
A Yahlover.DH crvi se šire prvenstveno mrežnim pogonima ili dionicama. Crv unosi puno promjena u registar. Na primjer, stvarate ili mijenjate nove unose i brišete ključeve. To omogućuje, između ostalog, onemogućavanje korisniku prikazivanja svih datoteka u programu Windows Explorer koje koristi za skrivanje. Također donosi promjene kako bi zaobišao ugrađeni vatrozid sustava Windows.
Yahlover.DH preuzima i instalira dodatni zlonamjerni softver na zaražena računala putem Interneta.
Kad se crv Yahlover.DH pokrene, on izvodi sljedeće radnje:
- Stvorite sljedeće datoteke:
% Sustav% \ csrcs.exe
% System% \ autorun.inf - Sljedeći unosi dodani su u bazu podataka o registraciji:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer \ Run \
csrcs = “%System%\csrcs.exe”
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = “Explorer.exe csrcs.exe”
HKLM\SOFTWARE\Microsoft\DRM\amty\fix = “”
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [slučajni znakovi]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [slučajni znakovi]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [slučajni znakovi]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [slučajni znakovi]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [slučajni znakovi] - Pita IP adresu zaraženog računala.
- Pokušavate zaraziti dodatna računala putem mreže. Kopira datoteke s nasumičnim imenima datoteka.
- Preuzima zlonamjerne programe putem Interneta.
- Onemogućuje Windows ugrađeni vatrozid:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfile \ AuthorizedApplications \ List \
[naziv datoteke crva] = [naziv datoteke crva]: *: Omogućeno: Windows Life Messenger - Da biste onemogućili bilo koji sigurnosni softver NOD32 koji je pokrenut, izmijenite registar:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Postavke \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Postavke \ exc_num = dword: 0000000c - Sljedeći se unosi brišu iz baze podataka o registraciji:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Ocjene
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ system - Izmijenite sljedeće vrijednosti u registru:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Skriveni = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
SuperHidden = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Mapa \ Skriveni \ SHOWALL \ CheckedValue = dword: 00000001
To skriva datoteke u programu Windows Explorer koje su skrivene i imaju sistemske atribute.