Программное обеспечение безопасности отключено червем Pintae

Червь Pintae.A распространяется через электронную почту и сетевые ресурсы. Основная опасность заключается в том, что он отключит приложения безопасности, работающие в Windows.

Червь Pintae.A вносит изменения в реестр после создания нескольких файлов. Это, помимо прочего, делает недоступными диспетчер задач и редактор реестра. Он также изменяет настройки в проводнике Windows.

Pintae.A останавливает процессы, связанные с различным программным обеспечением безопасности, и пересылает себя на адреса электронной почты, собранные из адресной книги Windows. Червь также пытается заразить дополнительные компьютеры через общие сетевые ресурсы.

Pintae.A также создает файл, в котором собирается большой объем системной информации. В нем, помимо прочего, хранятся имя компьютера, информация о пользователе, настройки почты и время заражения.

При запуске червь Pintae.A выполняет следующие действия:

1. Создайте следующие файлы:
% UserProfile% \ Start Menu \ Programs \ Startup \ MSKernell.bat
% System% \ AutoRun.bat
% Windir% \ Выход в DosPrompt.pif
Readme.scr (в корневом каталоге дисков C и D)
info.txt (в корневом каталоге дисков C и D)

2. Загрузите следующую информацию в файл info.txt:
Имя пользователя
Имя компьютера
- Адрес сервера POP3
- Информация SMTP
- дата и время заражения

3. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к твоему ключу
“NOYPI_KANG_ASTIG” = “%Windows%\Exit to DosPrompt.pif”
“taetae” = “%Windows%\Exit to DosPrompt.pif” értékeket.

4. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ RunServices
добавляет к твоему ключу
“TANG_INA_MO” = “%System%\AutoRun.bat”
“taengtae” = “%System%\AutoRun.bat” értékeket.

5. Регистрационная база данных
HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
в ключе меняет
«DisableTaskMgr» = «1»
«DisableRegistryTools» = «1» значения.

6. Регистрационная база данных
HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer
в ключе меняет
“NoFolderOptions” = “1”
“NoFind” = “1” értékeket.

7. Регистрационная база данных
HKEY_CURRENT_USER \ Программное обеспечение \ Политики \ Microsoft \ Internet Explorer
в ключе меняет
“Restrictions NoFindFiles” = “1” értéket.

8. Соберите адреса электронной почты из адресной книги Windows и отправьте их им.

Предметом заражения листьев могут быть:
CDO.Сообщение
ФИЛИПИНО \\ ”S СЕКРЕТЫ
Мои документы
Информация о новом вирусе
Правительство Филиппин Совершенно секретно
Информация о вирусе TaeTae

Имя файла зараженного почтового вложения может быть:
ДАННЫЕ.DOC.exe
ДОКУМЕНТ.DOC.exe
ИНФО.DOC.exe
README.DOC.exe
TAETAE.TXT.exe

9. Останавливает процессы, связанные с программным обеспечением безопасности.