Crv Hannuch vara Windows
Crv Hannuch.A pokušava se proširiti na flash pogonima nakon promjene određenih postavki u sustavu Windows.
A Hannuch.A crv se širi u obliku datoteke koja se naziva copy.exe, prvenstveno putem prijenosnih pogona. Jednom na računalu stvara datoteku na njemu u jednom od direktorija sustava Windows, a zatim osigurava da se može automatski pokrenuti svaki put kada se operativni sustav učita.
Hannuch.A čini nekoliko promjena u registracijskoj bazi podataka. S jedne strane, u slučaju Windowsa 2000 onemogućuje redovne odjave korisnika iz operativnog sustava. Također uklanja "Folder Settings" iz My Computer i na taj način pokušava otežati njegovo uklanjanje. Crv opskrbljuje vlastite zalihe skrivenim atributom i pokušava ostati nevidljiv pomoću ovog jednostavnog trika.
Kad se trojanski Hannuch.A pokrene, izvršava sljedeće radnje:
- Otvara Windows Explorer i stvara sljedeću datoteku:
% Sustav% \ vhchosts.exe - Stvorite sljedeći unos u bazi podataka za registraciju:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = “vhhosts.exe”
HKCU\Software\chunhan\\\gay = “[tekući dan u mjesecu]” - Širi se prijenosnim pogonima. Kopira datoteku koja se zove copy.exe i autorun.inf na njih.
- Onemogućite opciju "odjava" u sustavu Windows izmjenom registra:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoLogoff = “00000001”
Ova promjena vrijedi samo za Windows 2000. - Izmijenite registracijsku bazu na sljedeći način:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoFolderOptions = “00000001” - Dodaje skriveni atribut u vlastitu datoteku.