Usluge sustava Windows onemogućio je crv Annew.A

Crv Annew.A čini prilično promjena na odabranim računalima, a zatim pokušava onemogućiti određene Windows usluge ili programe.

Crv Annew.Crv se širi prvenstveno prijenosnim medijima. Crv na njima također stvara datoteku koja se automatski pokreće kada se medij montira. Jednom kada se to dogodi, stvara brojne datoteke na sistemskom pogonu, a zatim modificira registar. Između ostalog, ovo isključuje vraćanje sustava Windows.

Crv tada počinje izvoditi "spektakularne" operacije. Na primjer, prikazuje lažnu poruku o pogrešci, zatim mijenja tekst u naslovnoj traci prozora i zaustavlja procese koji pripadaju aplikacijama.

Kada se crv Annew pokrene, on izvršava sljedeće radnje:

1. Stvorite sljedeće datoteke:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% Sustav% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [ime datoteke] .exe

2. Kopirajte datoteku% SystemDrive% \ [ime datoteke] .exe s različitim imenima onoliko puta koliko se crv pokrene.

3. Stvorite datoteku autorun.inf na prijenosnim diskovima koja osigurava da se crv automatski pokreće kada medij povežete s računalima.

4. Stvorite sljedeće unose u bazi podataka za registraciju:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe %windir%\msdos.pif”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “%System%\msnmsgr.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”

5. Izmijenite sljedeće unose u registracijskoj bazi podataka:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”

6. Izmijenite sljedeće unose u registracijskoj bazi podataka:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”

Ovo isključuje značajku vraćanja sustava Windows.

7. Izmijenite sljedeće unose u registracijskoj bazi podataka:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Norun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”

8. Prikazuje poruku o pogrešci s naslovom “Application Error” i porukom “0xFFFFFFFF”.

9. U naslovnu traku svakog prozora stavite sljedeći tekst:
[^ _ ^ Protuvirusni program ^ _ ^]

10. Zaustavlja procese koji u svojim imenima imaju sljedeće riječi:
cmd
mconfig
zadatak
proc
Hex
Špijun.