Antivirus efterlignes af Phoney.A ormen

Ormen Phoney.A spredes primært gennem netværksandele og forsøger at bedrage brugere gennem falske antivirusbeskeder.

Phoney.A-ormen kopierer sine egne filer til en delt bibliotek på hvert netværk og sikrer også, at den starter automatisk, når de er monteret. Ormen foretager adskillige ændringer i registreringsdatabasen. De svækker betydeligt beskyttelsen af ​​computere og gør værktøjer som Registreringseditor eller Task Manager utilgængelige.

Phoney.A-ormen viser et falskt, men alligevel vildledende Norton AntiVirus-vindue og sikrer derefter, at det kan indlæses, selvom Windows starter i sikker tilstand. Et andet irriterende og ubelejligt træk ved malware er, at det genstarter den inficerede computer hver halve time.

Når ormen Phoney.A starter, udfører den følgende handlinger:

1. Opret følgende filer:
C: \ Dokumenter og indstillinger \ Alle brugere \ Startmenu \ Programmer \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [katalognavn] .exe

2. Opret følgende filer i rodmappen på hvert monterede drev:
AUTORUN.INF
microsoft.exe

3. Føj følgende poster til registreringsdatabasen:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Kør “Bron” = “% Windir% \ winxp.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Rontok” = “Explorer.exe“% Windir% \ winxp.exe ””
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” = “% System% \ userinit.exe,% Windir% \ winxp.exe”

4. Føj følgende poster til registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer ”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret “Hidden” = “4”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret ”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoClose” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoDesktop” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “Nofolderoptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Network “NoNetSetup” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”NoDispCPL” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ WinOldApp ”Disable =“ 4 ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug "Auto" = "" 1 ″ "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Politikker \ Microsoft \ Windows NT \ SystemRestore ”DisableSR” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Politikker \ Microsoft \ Windows \ Installer ”DisableMSI” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(standardværdi)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Standardværdi)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(Standardværdi)” = “Filmappe” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(Standardværdi)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(Standardværdi)” = “”% System% \ web.exe ”“% 1 ″% * ”

5. Rediger registreringsdatabasen, så den indlæses, når du starter Windows i sikker tilstand som følger:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Sa feBoot ”AlternateShell” = “% System% \ web.exe”

6. Genstart computeren hver halve time.

7. Viser en falsk Norton AntiVirus-meddelelsesboks.

8. Luk vinduer, der indeholder bestemte ord i titellinjen.