Троянец Wnetpols очень привержен
Трояны Wnetpols довольно сложно удалить с зараженных компьютеров.
A Внетполс троян вносит множество изменений в выбранные системы. После создания вредоносных файлов он заражает процессы и продолжает работать за ними. Изменяя реестр, троянец, помимо прочего, гарантирует, что брандмауэр Windows не мешает создаваемым им интернет-соединениям. Затем он открывает черный ход, через который злоумышленники могут выполнять различные вредоносные действия.
Одна из худших особенностей Wnetpols - то, что его очень сложно удалить с зараженных компьютеров. Это связано с тем, что если пользователь или антивирусное программное обеспечение попытается удалить свои файлы, они немедленно создадут новые. И если служба вашего троянца остановится, он вскоре перезапустится.
При запуске троян Wnetpols выполняет следующие действия:
- Создайте следующие файлы:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [случайные числа] .tmp
% Windir% \ Temp \ wnp [случайные числа] .tmp - Поражает следующие процессы:
winlogon.exe
explorer.exe
iexplore.exe - Создает следующие записи в базе данных регистрации:
HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Run \
«Окна
Служба диспетчера сетевой политики »=«% System% \ wnpms.exe »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
«Окна
Служба диспетчера сетевой политики »=«% System% \ wnpms.exe » - Измените следующие значения в реестре:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon «Userinit» =
"C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd "StartupPrograms" = "rdpclip, wnpms.exe" - Создает службу под названием «Служба диспетчера сетевой политики Windows».
- Добавьте следующий ключ в базу данных регистрации:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Если какой-либо из ваших файлов будет удален, вы немедленно восстановите его.
- Отключает встроенный брандмауэр Windows путем изменения реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List »%
Система% \ wnpms.exe »
= "% System% \ wnpms.exe: *: Включено: служба диспетчера сетевой политики Windows"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List »%
Windir% \ Explorer.EXE »
= "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Включено: служба диспетчера сетевой политики Windows" - Создает два мьютекса для одновременного запуска только одного экземпляра в зараженной системе.
- Он постоянно следит за собственным процессом и, если он останавливается, перезапускается.
- Он открывает задние ворота и ждет приказа нападающих.