Вирус Мессенгер - црв Иахловер оштетио је заштитни зид

Црв Иахловер.ДХ шири се мрежним деоницама и покушава да разоружа заштитни зид рачунара.

A Иахловер.ДХ Црв се шири првенствено путем мрежних дискова или дељења. Црв уноси много промена у регистар. На пример, креирате или мењате нове уносе и бришете кључеве. Ово омогућава, између осталог, спречавање корисника да прикаже све датотеке у Виндовс Екплореру које користи за скривање. Такође врши измене које вам омогућавају да заобиђете уграђени заштитни зид у систему Виндовс.

Иахловер.ДХ преузима и инсталира додатни злонамерни софтвер на заражене рачунаре путем Интернета.

Када се Иахловер.ДХ црв покрене, он врши следеће радње:

1. Креирајте следеће датотеке:
   % Систем% \ цсрцс.еке
   % Систем% \ ауторун.инф
2. Следећи уноси се додају у базу података за регистрацију:
   ХКЛМ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ полици \ Екплорер \ Покрени \
   цсрцс = „%Систем%\цсрцс.еке“
   ХКЛМ \ СОФТВЕР \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Винлогон \
   Схелл = “Екплорер.еке цсрцс.еке”
   ХКЛМ\СОФТВАРЕ\Мицрософт\ДРМ\амти\фик = “”
   ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \ екп1 = [насумични знакови]
   ХКЛМ \ СОФТВАРЕ \ Мицрософт \ ДРМ \ амти \ дрег = [случајни знакови]
   ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \ киу = [насумични знакови]
   ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \ еггол = [насумични знакови]
   ХКЛМ \ СОФТВЕР \ Мицрософт \ ДРМ \ амти \\\ егекп = [насумични знакови]
3. Пита ИП адресу зараженог рачунара.
4. Покушавате да заразите додатне рачунаре преко мреже. Копира датотеке са насумичним именом датотеке у ове.
5. Он преузима злонамерне програме преко Интернета.
6. Онемогућава уграђени заштитни зид у систему Виндовс:
   ХКЛМ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ СхаредАццесс \ Параметерс \ ФиреваллПолици \
   СтандардПрофиле \ АутхоризедАпплицатионс \ Лист \
   [назив датотеке црва] = [назив датотеке црва]: *: Омогућено: Виндовс Лифе Мессенгер
7. Да бисте онемогућили било који безбедносни софтвер НОД32 који је можда покренут, измените регистар:
   ХКЛМ \ СОФТВЕР \ ЕСЕТ \ Нод \ ЦуррентВерсион \ Модулес \ АМОН \ Сеттингс \
   Цонфиг000 \ Сеттингс \ медиа_нетворк = дворд: 00000000
   ХКЛМ \ СОФТВЕР \ ЕСЕТ \ Нод \ ЦуррентВерсион \ Модулес \ АМОН \ Сеттингс \
   Цонфиг000 \ Сеттингс \ екц = […]
   ХКЛМ \ СОФТВЕР \ ЕСЕТ \ Нод \ ЦуррентВерсион \ Модулес \ АМОН \ Сеттингс \
   Цонфиг000 \ Сеттингс \ екц_нум = дворд: 0000000ц
8. Следећи уноси се бришу из регистрацијске базе:
   ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес
   ХКЛМ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ полици \ Оцене
   ХКЛМ \ СОФТВЕР \ Мицрософт \ Виндовс \ ЦуррентВерсион \ полициес \ систем
9. Измените следеће вредности у регистру:
   ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
   Скривен = дворд: 00000002
   ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
   СуперХидден = дворд: 00000000
   ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
   СховСуперХидден = дворд: 00000000
   ХКЛМ \ СОФТВЕР \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \ Адванцед \
   Фолдер \ Хидден \ СХОВАЛЛ \ ЦхецкедВалуе = дворд: 00000001

Ово скрива датотеке са скривеним и системским атрибутима у Виндовс Екплореру.