Virus Messenger - брандмауэр поврежден червем Yahlover
Червь Yahlover.DH распространяется через общие сетевые ресурсы и пытается обезвредить брандмауэр компьютеров.
A Яхловер.DH Червь распространяется в основном через сетевые диски или общие ресурсы. Червь вносит много изменений в реестр. Например, вы создаете или изменяете новые записи и удаляете ключи. Это позволяет, среди прочего, запретить проводнику Windows отображать пользователю все файлы, которые он использует для скрытия. Он также вносит изменения для обхода встроенного брандмауэра Windows.
Yahlover.DH загружает и устанавливает дополнительные вредоносные программы на зараженные компьютеры через Интернет.
При запуске червь Yahlover.DH выполняет следующие действия:
- Создайте следующие файлы:
% System% \ csrcs.exe
% System% \ autorun.inf - В базу данных регистрации добавляются следующие записи:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer \ Run \
csrcs = «%System%\csrcs.exe»
HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Оболочка = «Explorer.exe csrcs.exe»
HKLM\SOFTWARE\Microsoft\DRM\amty\fix = «»
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [случайные символы]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [случайные символы]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [случайные символы]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [случайные символы]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [случайные символы] - Он запрашивает IP-адрес зараженного компьютера.
- Вы пытаетесь заразить дополнительные компьютеры по сети. Копирует в них файлы со случайными именами файлов.
- Загружает вредоносные программы через Интернет.
- Отключает встроенный брандмауэр Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfile \ AuthorizedApplications \ List \
[имя файла червя] = [имя файла червя]: *: Включено: Windows Life Messenger - Чтобы отключить любое работающее программное обеспечение безопасности NOD32, измените реестр:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc_num = dword: 0000000c - Следующие записи удаляются из регистрационной базы данных:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Ratings
HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ policy \ system - Измените следующие значения в реестре:
HKCU \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Скрытый = dword: 00000002
HKCU \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
SuperHidden = dword: 00000000
HKCU \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = dword: 00000000
HKLM \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Папка \ Hidden \ SHOWALL \ CheckedValue = dword: 00000001
Это скрывает файлы в проводнике Windows, которые скрыты и имеют системные атрибуты.