Wnetpols Trojan er meget tilhænger
Wnetpols-trojanere kan være ret vanskelige at fjerne fra inficerede computere.
A Wnetpols trojan foretager mange ændringer i udvalgte systemer. Når de ondsindede filer er oprettet, inficerer det processer og fortsætter med at fungere bag dem. Ved at ændre registreringsdatabasen sikrer Trojan blandt andet, at Windows Firewall ikke forstyrrer de internetforbindelser, den opretter. Derefter åbner en bagport, gennem hvilken angribere kan udføre forskellige ondsindede handlinger.
Et af de værste træk ved Wnetpols er, at det er meget vanskeligt at fjerne fra inficerede computere. Dette skyldes, at hvis en bruger eller antivirussoftware forsøger at slette deres filer, opretter de straks nye. Og hvis tjenesten til din trojan stopper, genstarter den sig selv snart.
Når Wnetpols Trojan starter, udfører den følgende handlinger:
- Opret følgende filer:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [tilfældige tal] .tmp
% Windir% \ Temp \ wnp [tilfældige tal] .tmp - Det inficerer følgende processer:
winlogon.exe
explorer.exe
iexplore.exe - Opretter følgende poster i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Windows
Network Policy Manager Service ”=“% System% \ wnpms.exe ”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Windows
Network Policy Manager Service ”=“% System% \ wnpms.exe ” - Rediger følgende værdier i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
"C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd ”StartupPrograms” = “rdpclip, wnpms.exe” - Opretter en tjeneste kaldet "Windows Network Policy Manager Service".
- Tilføj følgende nøgle til registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Hvis nogen af dine filer slettes, vil du gendanne det med det samme.
- Deaktiverer den indbyggede Windows-firewall ved at ændre registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
System% \ wnpms.exe ”
= "% System% \ wnpms.exe: *: Aktiveret: Windows Network Policy Manager Service"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Windir% \ Explorer.EXE ”
= "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Enabled: Windows Network Policy Manager Service" - Opretter to mutexer til kun at køre en forekomst ad gangen på det inficerede system.
- Den overvåger konstant sin egen proces, og hvis den stopper, genstarter den sig selv.
- Han åbner en bagport og venter på angribernes ordrer.
