Службы Windows отключены червем Annew.A

Червь Annew.A вносит довольно много изменений на выбранные компьютеры, а затем пытается отключить определенные службы или приложения Windows.

Червь Annew.A распространяется в основном через съемные носители. Червь также создает на них файл, который запускается автоматически при подключении носителя. Как только это происходит, он создает несколько файлов на системном диске, а затем изменяет реестр. Среди прочего, это отключает восстановление системы Windows.

A féreg ezt követően elkezd “látványos” műveleteket végezni. Így például hamis hibaüzenetet jelenít meg, majd megváltoztatja az ablakok címsorában szereplő szövegeket, valamint alkalmazásokhoz tartozó folyamatokat állít le.

При запуске червь Annew выполняет следующие действия:

1. Создайте следующие файлы:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [имя файла] .exe

2. Скопируйте файл% SystemDrive% \ [filename] .exe с разными именами столько раз, сколько запускается червь.

3. Создайте на съемных дисках файл autorun.inf, который обеспечит автоматический запуск червя при подключении носителя к компьютерам.

4. Создайте следующие записи в регистрационной базе данных:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe %windir%\msdos.pif”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”MsnMsgr” = “%System%\msnmsgr.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”

5. Измените следующие записи в базе данных регистрации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"

6. Измените следующие записи в базе данных регистрации:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore»DisableConfig» = «1»
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore»DisableSR» = «1»

Это отключает функцию восстановления системы Windows.

7. Измените следующие записи в базе данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer "NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”Norun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer «NoFind» = «1»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced «Скрытый» = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced «Скрытый» = «0»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"

8. Megjelenít egy hibaüzenetet “Application Error” címsorral, és “0xFFFFFFFF” üzenettel.

9. Поместите следующий текст в строку заголовка каждого окна:
[^ _ ^ Антивирус ^ _ ^]

10. Останавливает процессы, в именах которых есть следующие слова:
CMD
mconfig
задача
процедура
Hex
Шпион.