Badday-ormen raser på udklipsholderen

Badday.A orm spreder sig primært på flytbare såvel som netværksdrev og udfører en række irriterende operationer på inficerede computere.

Badday.A orm opretter en masse filer på udvalgte computere og opretter eller ændrer mindst så mange poster i registreringsdatabasen. Disse ændringer gør blandt andet Windows Task Manager og Registreringseditor utilgængelige.

I nogle tilfælde lukker ormen vinduer og ændrer konstant indholdet i udklipsholderen, hvilket ikke kan forårsage irritation for den inficerede pc -bruger.

Når Badday.A orm starter, udfører den følgende handlinger:

1. Opret følgende filer:
% Windir% \ Media \ StartUp \ scvhost.exe
% System% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys

2. Kopier følgende filer til CK -drevet:
% drev er% \ New_Folder.exe
% drevbogstav% \ autorun.inf
% drevbogstav er% \ cool data.exe
% drevbogstav% \ Ny mappe (4) .exe
% drev er% \ dataku.exe
% drevbogstav% \ data kuliah.exe
% drevbogstav% \ Ny mappe (5) .exe
% drev er% \ system.exe
% drevbogstav \ sjov doc.exe

3. Tag kopier af dig selv som følger:
% nuværende bibliotek% \ jangan dihapus .exe
% nuværende bibliotek% \ my sweety .exe
% nuværende bibliotek% \ foto cewek .exe
% nuværende bibliotek% \ kekasishku .exe
% nuværende bibliotek% \ data penting .exe
% nuværende bibliotek% \ downlodan .exe
% nuværende bibliotek% \ opdater antivir .exe
% nuværende bibliotek% \ kumulan program .exe
% nuværende bibliotek% \ movie bkp .exe
% nuværende bibliotek% \\\ itip .exe
% nuværende bibliotek% \ mappeindstilling .exe

4. Føj følgende poster til registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”NeverShow Ext” = “”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ App Paths \ WindowsProfile.EXE ”(default)” = “% Windir% \ Media \ StartUp \ scvhost.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policies \ system ”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run "WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run ”Printer Cpl” = “% Windir% \ spool32.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ Curren tVersion \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Politikker \ Microsoft \ Windows \ Installer ”DisableMSI” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main ”Window Title” = “>> Hav en dårlig dag <<“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ User Shell Folders "Startup" = "% Windir% \ Media \ StartUp"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFind” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoRun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run "Microsoft Word" = "% System% \ hostdll.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policies \ system ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policies \ system ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”

5. Rediger følgende værdier i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”(default)” = “Filmappe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”TileInfo” = “prop: DocComments”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”InfoTip” = “prop: DocComments”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \\\ egfile \ shell \ open \ command ”(standard)” = “cmd.exe / c for“% 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion "RegisteredOrganization" = "dit system er mit"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion "RegisteredOwner" = "dit system er mit"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = “Explorer.exe, C: \ WINDOWS \ system32 \ taskfile.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret “Hidden” = “2”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = 1 ″
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ClassicViewState" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer ”NoDriveTypeAutoRun” = “5B”

6. Find filer med følgende udvidelser:
.doc
.mpg
.3 s
.wmv
. Rar
.jpg
. Txt

Du laver en kopi af dem ved at tilføje en .exe -udvidelse til filnavnene.

7. Luk vinduer, der har et af følgende ord i titellinjen:
dræbe
hijack
reg
behandle

8. Fortsæt med at kopiere teksten “Have a Bad Day” til udklipsholderen.