Антивирус имитирует червь Phoney.A

Червь Phoney.A в основном распространяется через общие сетевые ресурсы и пытается обмануть пользователей с помощью поддельных антивирусных сообщений.

Червь Phoney.A копирует свои файлы во все общие каталоги сети, а также обеспечивает их автоматический запуск при подключении. Червь вносит бесчисленные изменения в базу данных реестра. В результате это значительно ослабляет защиту компьютеров и делает недоступными такие инструменты, как редактор реестра или диспетчер задач.

Червь Phoney.A отображает фальшивое, но очень обманчивое окно Norton AntiVirus, а затем проверяет возможность загрузки, даже если Windows может запуститься в безопасном режиме. Еще одна раздражающая и неприятная особенность вредоносного ПО заключается в том, что оно перезагружает зараженный компьютер каждые полчаса.

При запуске червь Phoney.A выполняет следующие действия:

1. Создайте следующие файлы:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
%Windir%\Autorun.inf
%System%\web.exe
%Windir%\winxp.exe
%CurrentFolder%\[имя папки].exe

2. Создайте следующие файлы в корневом каталоге каждого подключенного диска:
AUTORUN.INF
microsoft.exe

3. Добавьте следующие записи в базу данных регистрации:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”Bron” = “%Windir%\winxp.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Rontok" = "Explorer.exe "%Windir%\winxp.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe, %Windir%\winxp.exe”

4. Добавьте следующие записи в базу данных регистрации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\Explorer»NoFolderOptions» = «1»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System»DisableTaskMgr» = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced «Скрытый» = «4»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoClose” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDesktop” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Nofolderoptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network»NoNetSetup» = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System»NoDispCPL» = «1»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp»Отключить = «4»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug”Auto” = “”1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore»DisableConfig» = «1»
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore»DisableSR» = «1»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer "DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer»LimitSystemRestoreCheckpointing» = «1»
HKEY_CLASSES_ROOT\batfile\shell\open\command»(значение по умолчанию)» = «»%System%\web.exe» «%1″ %*»
HKEY_CLASSES_ROOT\comfile\shell\open\command» (значение по умолчанию)» = «»%System%\web.exe» «%1″ %*»
HKEY_CLASSES_ROOT\exefile» (значение по умолчанию)» = «Папка с файлами» = «»%System%\web.exe» «%1″ %*»
HKEY_CLASSES_ROOT\lnkfile\shell\open\command»(значение по умолчанию)» = «»%System%\web.exe» «%1″ %*»
HKEY_CLASSES_ROOT\piffile\shell\open\command»(значение по умолчанию)» = «»%System%\web.exe» «%1″ %*»

5. Измените реестр следующим образом, чтобы он загружался при запуске Windows в безопасном режиме.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"AlternateShell" = "%System%\web.exe"

6. Перезагружает компьютер каждые полчаса.

7. Отображается поддельное окно сообщения Norton AntiVirus.

8. Закрывает окна, содержащие определенные слова в строке заголовка.