Virus Messenger - Firewall er beskadiget af Yahlover-ormen
Yahlover.DH -ormen spredes gennem netværksaktier og søger at afbryde computernes firewall.
A Yahlover.DH Ormen spredes primært gennem netværksdrev eller delinger. Ormen foretager mange ændringer i registreringsdatabasen. For eksempel opretter eller ændrer du nye poster og sletter nøgler. Du kan blandt andet forhindre, at Windows Stifinder viser alle de filer, du bruger til at skjule dine filer. Det foretager også ændringer for at omgå Windows 'indbyggede firewall.
Yahlover.DH downloader og installerer yderligere malware på inficerede computere via Internettet.
Når Yahlover.DH -ormen starter, udfører den følgende handlinger:
- Opret følgende filer:
% System% \ csrcs.exe
% System% \ autorun.inf - Følgende poster tilføjes til registreringsdatabasen:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run \
csrcs = “% System% \ csrcs.exe”
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = "Explorer.exe csrcs.exe"
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ fix = “”
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [tilfældige tegn]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [tilfældige tegn]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [tilfældige tegn]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [tilfældige tegn]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [tilfældige tegn] - Det spørger efter den inficerede computers IP -adresse.
- Du prøver at inficere yderligere computere over et netværk. Kopierer filer med et tilfældigt filnavn til disse.
- Det downloader ondsindede programmer over internettet.
- Deaktiverer den indbyggede firewall i Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfile \ AuthorizedApplications \ List \
[orm filnavn] = [orm filnavn]: *: Aktiveret: Windows Life Messenger - Hvis du vil deaktivere enhver NOD32 sikkerhedssoftware, der muligvis kører, skal du ændre registreringsdatabasen:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc_num = dword: 0000000c - Følgende poster slettes fra registreringsdatabasen:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Ratings
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system - Rediger følgende værdier i registreringsdatabasen:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanceret \
Skjult = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanceret \
SuperHidden = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanceret \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Mappe \ Skjult \ SHOWALL \ CheckedValue = dword: 00000001
Dette skjuler filer med skjulte og systemattributter i Windows Stifinder.