Seite auswählen

Antivirus wird vom Phoney.A-Wurm nachgeahmt

Geschrieben von: | 2007. Juli 24 | | 0 |

Der Phoney.A-Wurm verbreitet sich hauptsächlich über Netzwerkfreigaben und versucht, Benutzer durch gefälschte Antivirus-Nachrichten zu täuschen.

Der Phoney.A-Wurm kopiert seine eigenen Dateien in ein freigegebenes Verzeichnis in jedem Netzwerk und sorgt außerdem dafür, dass er beim Einhängen automatisch startet. Der Wurm nimmt zahlreiche Änderungen an der Registrierung vor. Sie schwächen den Schutz von Computern erheblich und machen Tools wie den Registrierungseditor oder den Task-Manager unzugänglich.

Der Phoney.A-Wurm zeigt ein gefälschtes, aber sehr betrügerisches Norton AntiVirus-Fenster an und stellt dann sicher, dass es geladen werden kann, selbst wenn Windows im abgesicherten Modus startet. Ein weiteres lästiges und unbequemes Merkmal der Malware ist, dass sie den infizierten Computer jede halbe Stunde neu startet.

Wenn der Wurm Phoney.A startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
C: \ Dokumente und Einstellungen \ Alle Benutzer \ Startmenü \ Programme \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [Verzeichnisname] .exe

2. Erstellen Sie die folgenden Dateien im Stammverzeichnis jedes gemounteten Laufwerks:
AUTORUN.INF
microsoft.exe

3. Fügen Sie der Registrierungsdatenbank die folgenden Einträge hinzu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run „Bron“ = „% Windir% \ winxp.exe“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Rontok“ = „Explorer.exe“ % Windir% \ winxp.exe „“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit“ = „% System% \ userinit.exe,% Windir% \ winxp.exe“

4. Fügen Sie der Registrierungsdatenbank die folgenden Einträge hinzu:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoFolderOptions“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableRegistryTools“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „Hidden“ = „4“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „HideFileExt“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „ShowSuperHidden“ = „0“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoClose“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoDesktop“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „Nofolderoptions“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ Netzwerk „NoNetSetup“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableCMD“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableRegistryTools“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „NoDispCPL“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ WinOldApp ”Disable =“ 4 ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug „Auto“ = „“ 1 ″ „
HKEY_LOCAL_MACHINE \ SOFTWARE \ Richtlinien \ Microsoft \ Windows NT \ SystemRestore „DisableConfig“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Richtlinien \ Microsoft \ Windows NT \ SystemRestore „DisableSR“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Richtlinien \ Microsoft \ Windows \ Installer „DisableMSI“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Richtlinien \ Microsoft \ Windows \ Installer „LimitSystemRestoreCheckpointing“ = „1“
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command "(Standardwert)" = ""% System% \ web.exe ""% 1 ″% * "
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Standardwert)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile "(Standardwert)" = "Dateiordner" = ""% System% \ web.exe ""% 1 ″% * "
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command "(Standardwert)" = ""% System% \ web.exe ""% 1 ″% * "
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command "(Standardwert)" = ""% System% \ web.exe ""% 1 ″% * "

5. Ändern Sie die Registrierung so, dass sie beim Starten von Windows im abgesicherten Modus wie folgt geladen wird:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot „AlternateShell“ = „% System% \ web.exe“

6. Starten Sie den Computer jede halbe Stunde neu.

7. Zeigt ein gefälschtes Meldungsfeld von Norton AntiVirus an.

8. Schließen Sie Fenster, die bestimmte Wörter in ihrer Titelleiste enthalten.

Lektüre: 2

Messen:

Über den Autor

Klammern

zusammenhängende Posts

Beim Raytracing gab es weitere Schwierigkeiten

Beim Raytracing gab es weitere Schwierigkeiten

2019-02-15

IP-Adresse für alle Leuchten!

IP-Adresse für alle Leuchten!

2011-05-19

Herunterladbare Demoversion von Starcaft 2!

Herunterladbare Demoversion von Starcaft 2!

2010-12-22

Herunterladbares Google Chrome 16

Herunterladbares Google Chrome 16

2011-12-13

banner

KaufenBestGear

Anzeige

ranvee

Ranvee Haushaltsgeräte