Црв Ханнуцх је трик са Виндовсом

Црв Ханнуцх.А покушава да се прошири на флеш дисковима након промене одређених поставки у оперативном систему Виндовс.

A Ханнуцх.А црв се шири у облику датотеке која се назива цопи.еке, првенствено путем преносних уређаја. Једном на рачунару креира датотеку на њему у једном од директоријума система Виндовс, а затим осигурава да може аутоматски да се покрене сваки пут када се оперативни систем учита.

Ханнуцх.А прави неколико промена у бази података регистрације. С једне стране, у случају Виндовс 2000, онемогућава редовно одјављивање корисника из оперативног система. Такође уклања „Подешавања фасцикле“ са мог рачунара и на тај начин покушава да отежава њихово уклањање. Црв снабдева сопствене залихе скривеним атрибутом и покушава да остане невидљив овим једноставним триком.

Када се тројански програм Ханнуцх.А покрене, извршава следеће радње:

1. Отвара Виндовс Екплорер и креира следећу датотеку:
   % Систем% \ вхцхостс.еке
2. Направите следећи унос у бази података за регистрацију:
   ХКЦУ\Софтваре\Мицрософт\Виндовс\ЦуррентВерсион\Рун\систраи = „вххостс.еке“
   ХКЦУ\Софтваре\цхунхан\\\гаи = „[текући дан у месецу]“
3. Шири се путем преносивих погона. Копира датотеку која се зове цопи.еке и ауторун.инф на њих.
4. Онемогућите опцију „одјава“ у Виндовс-у тако што ћете модификовати регистар:
   ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес \ Екплорер \
   НоЛогофф = “00000001”
   Ова промена важи само за Виндовс 2000.
5. Измените базу података за регистрацију на следећи начин:
   ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес \ Екплорер \
   НоФолдерОптионс = “00000001”
6. Додаје скривени атрибут у сопствену датотеку.