Virus Messenger - Firewall wird durch den Yahlover-Wurm beschädigt
Der Wurm Yahlover.DH verbreitet sich über Netzwerkfreigaben und versucht, die Firewall von Computern zu entschärfen.
A Yahlover.DH Der Wurm verbreitet sich hauptsächlich über Netzlaufwerke oder -freigaben. Der Wurm nimmt viele Änderungen an der Registrierung vor. Sie erstellen oder ändern beispielsweise neue Einträge und löschen Schlüssel. Sie können unter anderem verhindern, dass Windows Explorer alle Dateien anzeigt, die Sie zum Ausblenden in Ihrem Browser verwenden. Es nimmt auch Änderungen vor, um die integrierte Firewall von Windows zu umgehen.
Yahlover.DH lädt über das Internet zusätzliche Malware herunter und installiert sie auf infizierten Computern.
Wenn der Wurm Yahlover.DH startet, führt er die folgenden Aktionen aus:
- Erstellen Sie die folgenden Dateien:
% System% \ csrcs.exe
% System% \ autorun.inf - Folgende Einträge werden in die Registrierungsdatenbank aufgenommen:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ Explorer \ Ausführen \
csrcs = „% System% \ csrcs.exe“
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = "Explorer.exe csrcs.exe"
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ fix = „“
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [zufällige Zeichen]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [zufällige Zeichen]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [zufällige Zeichen]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [zufällige Zeichen]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [zufällige Zeichen] - Es fragt die IP-Adresse des infizierten Computers ab.
- Sie versuchen, weitere Computer über ein Netzwerk zu infizieren. Kopiert Dateien mit einem zufälligen Dateinamen in diese.
- Es lädt Schadprogramme über das Internet herunter.
- Deaktiviert die in Windows integrierte Firewall:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfil \ Autorisierte Anwendungen \ Liste \
[Wurmdateiname] = [Wurmdateiname]: *: Aktiviert: Windows Life Messenger - Um eine eventuell laufende NOD32-Sicherheitssoftware zu deaktivieren, ändern Sie die Registrierung:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Einstellungen \
Config000 \ Einstellungen \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Einstellungen \
Config000 \ Einstellungen \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Einstellungen \
Config000 \ Einstellungen \ exc_num = dword: 0000000c - Folgende Einträge werden aus der Registrierungsdatenbank gelöscht:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Richtlinien
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ Bewertungen
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ System - Ändern Sie die folgenden Werte in der Registrierung:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \
Versteckt = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \
SuperHidden = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \
Ordner \ Hidden \ SHOWALL \ CheckedValue = dword: 00000001
Dadurch werden Dateien im Windows Explorer ausgeblendet, die ausgeblendet sind und Systemattribute aufweisen.
