Crv Hannuch vara Windows

Crv Hannuch.A pokušava se proširiti na flash pogonima nakon promjene određenih postavki u sustavu Windows.

A Hannuch.A crv se širi u obliku datoteke koja se naziva copy.exe, prvenstveno putem prijenosnih pogona. Jednom na računalu stvara datoteku na njemu u jednom od direktorija sustava Windows, a zatim osigurava da se može automatski pokrenuti svaki put kada se operativni sustav učita.

Hannuch.A čini nekoliko promjena u registracijskoj bazi podataka. S jedne strane, u slučaju Windowsa 2000 onemogućuje redovne odjave korisnika iz operativnog sustava. Također uklanja "Folder Settings" iz My Computer i na taj način pokušava otežati njegovo uklanjanje. Crv opskrbljuje vlastite zalihe skrivenim atributom i pokušava ostati nevidljiv pomoću ovog jednostavnog trika.

Kad se trojanski Hannuch.A pokrene, izvršava sljedeće radnje:

1. Otvara Windows Explorer i stvara sljedeću datoteku:
   % Sustav% \ vhchosts.exe
2. Stvorite sljedeći unos u bazi podataka za registraciju:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = “vhhosts.exe”
   HKCU\Software\chunhan\\\gay = “[tekući dan u mjesecu]”
3. Širi se prijenosnim pogonima. Kopira datoteku koja se zove copy.exe i autorun.inf na njih.
4. Onemogućite opciju "odjava" u sustavu Windows izmjenom registra:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
   NoLogoff = “00000001”
   Ova promjena vrijedi samo za Windows 2000.
5. Izmijenite registracijsku bazu na sljedeći način:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
   NoFolderOptions = “00000001”
6. Dodaje skriveni atribut u vlastitu datoteku.