Der Wnetpols-Trojaner ist sehr anhänglich

Wnetpols-Trojaner können von infizierten Computern nur schwer entfernt werden.

A Wnetpols Trojaner nimmt viele Änderungen an ausgewählten Systemen vor. Nachdem die schädlichen Dateien erstellt wurden, infiziert es Prozesse und arbeitet hinter ihnen weiter. Der Trojaner sorgt unter anderem durch eine Änderung der Registrierung dafür, dass die Windows-Firewall die von ihm aufgebauten Internetverbindungen nicht stört. Es öffnet dann ein Backgate, durch das Angreifer verschiedene bösartige Aktionen ausführen können.

Eine der schlimmsten Eigenschaften von Wnetpols ist, dass es sehr schwierig ist, es von infizierten Computern zu entfernen. Dies liegt daran, dass Benutzer oder Antivirensoftware, die versuchen, ihre Dateien zu löschen, sofort neue Dateien erstellen. Und wenn der Dienst für Ihren Trojaner stoppt, wird er sich in Kürze neu starten.

Wenn der Wnetpols-Trojaner startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
   % System% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [Zufallszahlen] .tmp
   % Windir% \ Temp \ wnp [Zufallszahlen] .tmp
2. Es infiziert die folgenden Prozesse:
   winlogon.exe
   explorer.exe
   iexplore.exe
3. Erstellt die folgenden Einträge in der Registrierungsdatenbank:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\AktuelleVersion\Ausführen\
   „Windows
   Netzwerkrichtlinien-Manager-Dienst "="% System% \ wnpms.exe "
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Run \
   „Windows
   Netzwerkrichtlinien-Manager-Dienst "="% System% \ wnpms.exe "
4. Ändern Sie die folgenden Werte in der Registrierung:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit“ =
   "C:\WINDOWS\system32\userinit.exe, wnpms.exe"
   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd "StartupPrograms" = "rdpclip, wnpms.exe"
5. Erstellt einen Dienst namens „Windows Network Policy Manager Service“.
6. Fügen Sie der Registrierungsdatenbank den folgenden Schlüssel hinzu:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Dienste \ wnpms
7. Wenn eine Ihrer Dateien gelöscht wird, werden Sie sie sofort wiederherstellen.
8. Deaktiviert die in Windows integrierte Firewall durch Ändern der Registrierung:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ Liste ”%
   System% \ wnpms.exe ”
   = "% System% \ wnpms.exe: *: Aktiviert: Windows Network Policy Manager Service"
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ Liste ”%
   Windir% \ Explorer.EXE ”
   = "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Aktiviert: Windows Network Policy Manager Service"
9. Erstellt zwei Mutexe, um jeweils nur eine Instanz auf dem infizierten System auszuführen.
10. Es überwacht ständig seinen eigenen Prozess, und wenn es stoppt, startet es sich selbst neu.
11. Er öffnet ein Hintertor und wartet auf die Befehle der Angreifer.