Windows-tjenester er deaktiveret af Annew.A-ormen

Annew.A-ormen foretager en hel del ændringer på udvalgte computere og forsøger derefter at deaktivere visse Windows-tjenester eller applikationer.

Annew.A -ormen spredes primært gennem flytbare medier. Ormen opretter også en fil om disse, der starter automatisk, når mediet er monteret. Når dette sker, opretter det et antal filer på systemdrevet og ændrer derefter registreringsdatabasen. Dette slukker blandt andet Windows Systemgendannelse.

Ormen begynder derefter at udføre “spektakulære” operationer. For eksempel viser den en falsk fejlmeddelelse, ændrer teksten i titellinjen i windows og stopper processer til applikationer.

Når den nye orm starter, udfører den følgende handlinger:

1. Opret følgende filer:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [filnavn] .exe

2. Kopier% SystemDrive% \ [filnavn] .exe-filen med et andet navn så mange gange, som ormen starter.

3. Opret en autorun.inf -fil på flytbare diske, der sikrer, at ormen starter automatisk, når du slutter medier til computere.

4. Opret følgende poster i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = “Explorer.exe% windir% \ msdos.pif”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run ”MsnMsgr” = “% System% \ msnmsgr.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Kør ”MsnMsgr” = “C: \ WINDOWS \ system32 \ msnmsgr.exe”

5. Rediger følgende poster i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableCMD” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”

6. Rediger følgende poster i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Politikker \ Microsoft \ Windows NT \ SystemRestore ”DisableSR” = “1”

Dette slukker for Windows Systemgendannelsesfunktion.

7. Rediger følgende poster i registreringsdatabasen:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “Norun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFind” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoSetFolders” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoLogoff” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret “Hidden” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret “Hidden” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret ”HideFileExt” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Avanceret ”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = “0”

8. Viser en fejlmeddelelse med titlen "Application Error" og meddelelsen "0xFFFFFFFF".

9. Anbring følgende tekst i titellinjen i hvert vindue:
[^ _ ^ Anti-antivirus ^ _ ^]

10. Stopper processer, der har følgende ord i deres navne:
cmd
mconfig
opgave
proc
Hex
Spion.

Læsning: 1

understregede

BlitzHome BH-CDW1, den smarte, bærbare skrivebordsopvaskemaskine, er til salg igen

understregede

BLITZWILL BWL-FL-0001 - Prangende gulvlampe med 10 rabat

Somoreal SM-OLT9 - vi tilføjer vinger til vores lys

Begge BlitzWill loftslamper er til salg i denne uge

BlitzWolf BW-SX31 trådløs mikrofon til en Black Friday-pris

understregede

Er dette en joke? Xiaomi selvtømmende robotstøvsuger til HUF 93?

understregede

XIAOMI AtuMan DUKA E2 - budgetvenlig elektrisk skruetrækker

Xiaomi-salg til smarte hjem

Xiaomi Redmi AX5400 - endnu en ny WiFi 6-router fra Xiaomi

Xiaomi Redmi AX6000 - ny WiFi 6 router fra Xiaomi

Windows-tjenester er deaktiveret af Annew.A-ormen

Om forfatteren

Clingers

KøbBestGear

ranvee

G6.hu

understregede

BlitzHome BH-CDW1, den smarte, bærbare skrivebordsopvaskemaskine, er til salg igen

understregede

BLITZWILL BWL-FL-0001 - Prangende gulvlampe med 10 rabat

understregede

Er dette en joke? Xiaomi selvtømmende robotstøvsuger til HUF 93?

understregede

XIAOMI AtuMan DUKA E2 - budgetvenlig elektrisk skruetrækker

Windows-tjenester er deaktiveret af Annew.A-ormen

Om forfatteren

Relaterede indlæg

KøbBestGear

ranvee