Sicherheitssoftware wird durch den Pintae-Wurm deaktiviert

Der Wurm Pintae.A verbreitet sich über E-Mails und Netzwerkfreigaben. Die Hauptgefahr besteht darin, dass Sicherheitsanwendungen unter Windows deaktiviert werden.

Der Wurm Pintae.A verändert die Registrierung, nachdem er mehrere Dateien erstellt hat. Dies macht unter anderem den Task-Manager und den Registrierungseditor unzugänglich. Es ändert auch die Einstellungen im Windows Explorer.

Pintae.A stoppt Prozesse, die mit verschiedener Sicherheitssoftware verbunden sind, und leitet sich an E-Mail-Adressen weiter, die aus dem Windows-Adressbuch stammen. Der Wurm versucht auch, weitere Computer über Netzwerkfreigaben zu infizieren.

Pintae.A erstellt auch eine Datei, die viele Systeminformationen sammelt. Darin werden unter anderem der Computername, Benutzerinformationen, E-Mail-Einstellungen und der Zeitpunkt der Infektion gespeichert.

Wenn der Wurm Pintae.A startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
% UserProfile% \ Startmenü \ Programme \ Startup \ MSKernell.bat
% System% \ AutoRun.bat
% Windir% \ Beenden Sie zu DosPrompt.pif
Readme.scr (im Stammverzeichnis von Laufwerk C und D)
info.txt (im Stammverzeichnis der Laufwerke C und D)

2. Laden Sie die folgenden Informationen in die Datei info.txt:
Nutzername
Computername
- POP3-Serveradresse
- SMTP-Informationen
- Datum und Uhrzeit der Infektion

3. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunV
fügt Ihrem Schlüssel hinzu
„NOYPI_KANG_ASTIG“ = „% Windows% \ Exit to DosPrompt.pif“
„Taetae“ = „% Windows% \ Exit to DosPrompt.pif“.

4. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
fügt Ihrem Schlüssel hinzu
„TANG_INA_MO“ = „% System% \ AutoRun.bat“
„Taengtae“ = „% System% \ AutoRun.bat“-Werte.

5. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
in der Tonart ändert sich die
„DisableTaskMgr“ = „1“
„DisableRegistryTools“ = „1“-Werte.

6. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
in der Tonart ändert sich die
„NoFolderOptions“ = „1“
„NoFind“ = „1“-Werte.

7. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Richtlinien \ Microsoft \ Internet Explorer
in der Tonart ändert sich die
„Einschränkungen NoFindFiles“ = „1“.

8. Sammeln Sie E-Mail-Adressen aus dem Windows-Adressbuch und leiten Sie sie an sie weiter.

Das Thema infizierter Blätter kann sein:
CDO.Nachricht
FILIPINO \\ "S GEHEIMNISSE"
Meine Dokumente
Neue Virusinformationen
Streng geheim der philippinischen Regierung
Informationen zum TaeTae-Virus

Der Dateiname des infizierten Mail-Anhangs kann lauten:
DATA.DOC.exe
DOKUMENT.DOC.exe
INFO.DOC.exe
README.DOC.exe
TAETAE.TXT.exe

9. Stoppt die mit der Sicherheitssoftware verbundenen Prozesse.