Тројанац Внетполс је веома привржен

Внетполс тројанце је прилично тешко уклонити са заражених рачунара.

A Внетполс Тројанац прави многе промене на одабраним системима. Након креирања злонамерних датотека, он инфицира процесе и наставља да ради иза њих. Модификовањем регистра, тројанац, између осталог, спречава Виндовс заштитни зид да омета интернет везе које ствара. Затим отвара задња врата кроз која нападачи могу извршити разне злонамерне радње.

Једна од најгорих карактеристика Внетполс-а је да га је веома тешко уклонити са заражених рачунара. То је зато што ако корисник или антивирусни софтвер покуша да избрише своје датотеке, одмах ће креирати нове. А ако услуга за ваш тројанац престане, убрзо ће се поново покренути.

Када се покрене тројанац Внетполс, он обавља следеће радње:

1. Креирајте следеће датотеке:
   % Систем% \ внпмс.еке
   % Виндир% \ Темп \ внпмс_ [случајни бројеви] .тмп
   % Виндир% \ Темп \ внп [случајни бројеви] .тмп
2. Инфицира следеће процесе:
   Винлогон.еке
   екплорер.еке
   иекплоре.еке
3. Креира следеће уносе у регистрацијској бази података:
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтвер \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун \
   „Виндовс
   Услуга менаџера мрежних политика” = „%Систем%\внпмс.еке”
   ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун \
   „Виндовс
   Услуга менаџера мрежних политика” = „%Систем%\внпмс.еке”
4. Измените следеће вредности у регистру:
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Винлогон “Усеринит” =
   „Ц:\ВИНДОВС\систем32\усеринит.еке, внпмс.еке“
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\Систем\ЦуррентЦонтролСет\Цонтрол\Терминал Сервер\Вдс\\\дпвд”СтартупПрограмс” = “рдпцлип, внпмс.еке”
5. Креира услугу под називом „Виндовс Нетворк Полици Манагер Сервице“.
6. Додаје следећи кључ у базу података регистрације:
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ внпмс
7. Ако се било која од ваших датотека избрише, биће одмах враћена.
8. Онемогућавање Виндовс уграђеног заштитног зида модификацијом регистра:
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ СхаредАццесс \ Па
   раметерс \ ФиреваллПолици \ СтандардПрофиле \ АутхоризедАпплицатионс \ Листа ”%
   Систем% \ внпмс.еке ”
   = „%Систем%\внпмс.еке:*:Енаблед:Виндовс Нетворк Полици Манагер Сервице“
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ СхаредАццесс \ Па
   раметерс \ ФиреваллПолици \ СтандардПрофиле \ АутхоризедАпплицатионс \ Листа ”%
   Виндир% \ Екплорер.ЕКСЕ ”
   = „%Виндовс%\Екплорер.ЕКСЕ%Виндовс%\Екплорер.ЕКСЕ:*:Енаблед:Виндовс Нетворк Полици Манагер Сервице“
9. Ствара два мутекса за истодобно покретање само једне инстанце на зараженом систему.
10. Стално прати сопствени процес, а ако се заустави, поново се покреће.
11. Отвара задњу капију и чека наређења нападача.