Плохой червь бушует в буфере обмена

Badday.Червь распространяется в основном на съемные и сетевые диски и выполняет ряд раздражающих операций на зараженных компьютерах.

Badday.Червь создает множество файлов на выбранных компьютерах и создает или изменяет как минимум такое количество записей в реестре. Эти изменения, среди прочего, делают недоступными Диспетчер задач Windows и редактор реестра.

В некоторых случаях червь закрывает окна и постоянно изменяет содержимое буфера обмена, что не может раздражать пользователя зараженного ПК.

При запуске Badday.A червь выполняет следующие действия:

1. Создайте следующие файлы:
% Windir% \ Media \ StartUp \ scvhost.exe
% System% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys

2. Скопируйте на диск CK следующие файлы:
% диск - это% \ New_Folder.exe
% буква диска% \ autorun.inf
% буква диска% \ cool data.exe
% буква диска% \ New Folder (4) .exe
% диск - это% \ dataku.exe
% буква диска% \ data kuliah.exe
% буква диска% \ New Folder (5) .exe
% диск - это% \ system.exe
% буква диска% \ funny doc.exe

3. Сделайте копии себя следующим образом:
% текущий каталог% \ jangan dihapus .exe
% текущий каталог% \ my sweety .exe
% текущий каталог% \ foto cewek .exe
% текущий каталог% \ kekasishku .exe
% текущий каталог% \ data penting .exe
% текущий каталог% \ downlodan .exe
% текущий каталог% \ update antivir .exe
% текущий каталог% \ kumulan program .exe
% текущий каталог% \ movie bkp .exe
% текущий каталог% \\\ itip .exe
% текущий каталог% \ folder option .exe

4. Добавьте следующие записи в базу данных регистрации:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile "NeverShow Ext" = ""
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ App Paths \ WindowsProfile.EXE "(по умолчанию)" = "% Windir% \ Media \ StartUp \ scvhost.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ system »NoFolderOptions» = «1»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Запустите "WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run "Printer Cpl" = "% Windir% \ spool32.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ Curren tVersion \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer "DisableMSI" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main "Заголовок окна" = ">> Хорошего дня <<"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Папки пользовательской оболочки «Автозагрузка» = «% Windir% \ Media \ StartUp»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer «NoFind» = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoFolderOptions" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer «NoRun» = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run "Microsoft Word" = "% System% \ hostdll.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ system ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ system »DisableTaskMgr» = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"

5. Измените следующие значения в базе данных регистрации:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile »(по умолчанию)» = «Папка с файлами»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile "TileInfo" = "prop: DocComments"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile "InfoTip" = "prop: DocComments"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \\\ egfile \ shell \ open \ command »(по умолчанию)» = «cmd.exe / c для«% 1 ″ »
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion «RegisteredOrganization» = «ваша система моя»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion "RegisteredOwner" = "ваша система моя"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Shell" = "Explorer.exe, C: \ WINDOWS \ system32 \ taskfile.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced «Скрытый» = «2»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = 1 ″
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ClassicViewState" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoDriveTypeAutoRun" = "5B"

6. Найдите файлы со следующими расширениями:
.doc
. Mpg
.3 стр.
.wmv
. Редко
. Jpg
.текст

Он копирует их, добавляя к именам файлов расширение .exe.

7. Закройте окна, в заголовке которых есть одно из следующих слов:
убивать
похищать
Редж
процесс

8. Продолжайте копировать «Хорошего дня» в буфер обмена.