Антивирус опонаша црв Пхонеи.А

Црв Пхонеи.А шири се првенствено мрежним дељењима и покушава да превари кориснике лажним антивирусним порукама.

Црв Пхонеи.А копира своје датотеке у дељени директоријум на свакој мрежи, а такође осигурава да се аутоматски покреће када се монтирају. Црв уноси бројне промене у регистар. Они знатно ослабљују заштиту рачунара и чине алате као што су Регистри Едитор или Таск Манагер неприступачни.

Црв Пхонеи.А приказује лажни, али врло обмањујући прозор Нортон АнтиВирус, а затим осигурава да се може учитати чак и ако се Виндовс покрене у сигурном режиму. Још једна досадна и незгодна карактеристика малвера је да заражени рачунар поново покреће сваких пола сата.

Када се црв Пхонеи.А покрене, он врши следеће радње:

1. Креирајте следеће датотеке:
Ц: \ Доцументс анд Сеттингс \ Алл Усерс \ Старт Мену \ Програмс \ Стартуп \ Емпти.пиф
% Виндир% \ Ауторун.инф
% Систем% \ веб.еке
% Виндир% \ винкп.еке
% ЦуррентФолдер% \ [име директоријума] .еке

2. Направите следеће датотеке у основном директоријуму сваког монтираног погона:
АУТОРУН.ИНФ
мицрософт.еке

3. Додајте следеће уносе у базу података за регистрацију:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Покрени „Брон” = „% Виндир% \ винкп.еке”
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Винлогон “Ронток” = “Екплорер.еке“% Виндир% \ винкп.еке ””
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ Винлогон “Усеринит” = “% Систем% \ усеринит.еке,% Виндир% \ винкп.еке”

4. Додајте следеће уносе у базу података за регистрацију:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Полициес \ Екплорер ”НоФолдерОптионс” = “1”
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Полициес \ Систем "ДисаблеРегистриТоолс" = "1"
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Полициес \ Систем "ДисаблеТаскМгр" = "1"
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Екплорер \ Адванцед “Скривено” = “4”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Екплорер \ Адванцед ”ХидеФилеЕкт” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Екплорер \ Адванцед ”СховСуперХидден” = “0”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Екплорер “НоЦлосе” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Екплорер “НоДесктоп” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Екплорер “Нофолдероптионс” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Нетворк ”НоНетСетуп” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Систем ”ДисаблеЦМД” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Систем ”ДисаблеРегистриТоолс” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Систем ”ДисаблеТаскМгр” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Систем ”НоДиспЦПЛ” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ ВинОлдАпп ”Дисабле =“ 4 ”
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс НТ \ ЦуррентВерсион \ АеДебуг "Ауто" = "" 1 ″ "
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс НТ \ СистемРесторе ”ДисаблеЦонфиг” = “1”
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс НТ \ СистемРесторе ”ДисаблеСР” = “1”
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс \ Инсталлер ”ДисаблеМСИ” = “1”
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс \ Инсталлер ”ЛимитСистемРестореЦхецкпоинтинг” = “1”
ХКЕИ_ЦЛАССЕС_РООТ \ батфиле \ схелл \ опен \ цомманд ”(подразумевана вредност)” = “”% Систем% \ веб.еке ”“% 1 ″% * ”
ХКЕИ_ЦЛАССЕС_РООТ \ цомфиле \ схелл \ опен \ цомманд ”(подразумевана вредност)” = “”% Систем% \ веб.еке ”“% 1 ″% * ”
ХКЕИ_ЦЛАССЕС_РООТ \ екефиле ”(подразумевана вредност)” = „Фасцикла датотеке” = “”% Систем% \ веб.еке ”“% 1 ″% * ”
ХКЕИ_ЦЛАССЕС_РООТ \ лнкфиле \ схелл \ опен \ цомманд ”(подразумевана вредност)” = “”% Систем% \ веб.еке ”“% 1 ″% * ”
ХКЕИ_ЦЛАССЕС_РООТ \ пиффиле \ схелл \ опен \ цомманд ”(подразумевана вредност)” = “”% Систем% \ веб.еке ”“% 1 ″% * ”

5. Измените регистар тако да се учитава када покренете Виндовс у сигурном режиму, како следи:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ Са феБоот "АлтернатеСхелл" = "% Систем% \ веб.еке"

6. Поново покрените рачунар на сваких пола сата.

7. Приказује лажни оквир за поруке Нортон АнтиВирус.

8. Затворите прозоре који у насловној траци садрже одређене речи.