Вирус Мессенгер - црв Иахловер оштетио је заштитни зид
Црв Иахловер.ДХ шири се мрежним деоницама и покушава да разоружа заштитни зид рачунара.
A Иахловер.ДХ Црв се шири првенствено путем мрежних дискова или дељења. Црв уноси много промена у регистар. На пример, креирате или мењате нове уносе и бришете кључеве. Ово омогућава, између осталог, спречавање корисника да прикаже све датотеке у Виндовс Екплореру које користи за скривање. Такође врши измене које вам омогућавају да заобиђете уграђени заштитни зид у систему Виндовс.
Иахловер.ДХ преузима и инсталира додатни злонамерни софтвер на заражене рачунаре путем Интернета.
Када се Иахловер.ДХ црв покрене, он врши следеће радње:
- Креирајте следеће датотеке:
% Систем% \ цсрцс.еке
% Систем% \ ауторун.инф - Следећи уноси се додају у базу података за регистрацију:
ХКЛМ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ полици \ Екплорер \ Покрени \
цсрцс = „%Систем%\цсрцс.еке“
ХКЛМ \ СОФТВЕР \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Винлогон \
Схелл = “Екплорер.еке цсрцс.еке”
ХКЛМ\СОФТВАРЕ\Мицрософт\ДРМ\амти\фик = “”
ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \ екп1 = [насумични знакови]
ХКЛМ \ СОФТВАРЕ \ Мицрософт \ ДРМ \ амти \ дрег = [случајни знакови]
ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \ киу = [насумични знакови]
ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \ еггол = [насумични знакови]
ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \\\ егекп = [насумични знакови] - Пита ИП адресу зараженог рачунара.
- Покушавате да заразите додатне рачунаре преко мреже. Копира датотеке са насумичним именом датотеке у ове.
- Он преузима злонамерне програме преко Интернета.
- Онемогућава уграђени заштитни зид у систему Виндовс:
ХКЛМ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ СхаредАццесс \ Параметерс \ ФиреваллПолици \
СтандардПрофиле \ АутхоризедАпплицатионс \ Лист \
[назив датотеке црва] = [назив датотеке црва]: *: Омогућено: Виндовс Лифе Мессенгер - Да бисте онемогућили било који безбедносни софтвер НОД32 који је можда покренут, измените регистар:
ХКЛМ \ СОФТВЕР \ ЕСЕТ \ Нод \ ЦуррентВерсион \ Модулес \ АМОН \ Сеттингс \
Цонфиг000 \ Сеттингс \ медиа_нетворк = дворд: 00000000
ХКЛМ \ СОФТВЕР \ ЕСЕТ \ Нод \ ЦуррентВерсион \ Модулес \ АМОН \ Сеттингс \
Цонфиг000 \ Сеттингс \ екц = […]
ХКЛМ \ СОФТВЕР \ ЕСЕТ \ Нод \ ЦуррентВерсион \ Модулес \ АМОН \ Сеттингс \
Цонфиг000 \ Сеттингс \ екц_нум = дворд: 0000000ц - Следећи уноси се бришу из регистрацијске базе:
ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес
ХКЛМ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ полици \ Оцене
ХКЛМ \ СОФТВЕР \ Мицрософт \ Виндовс \ ЦуррентВерсион \ полициес \ систем - Измените следеће вредности у регистру:
ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
Скривен = дворд: 00000002
ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
СуперХидден = дворд: 00000000
ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
СховСуперХидден = дворд: 00000000
ХКЛМ \ СОФТВЕР \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
Фолдер \ Хидден \ СХОВАЛЛ \ ЦхецкедВалуе = дворд: 00000001
Ово скрива датотеке са скривеним и системским атрибутима у Виндовс Екплореру.