Seite auswählen

Windows-Dienste werden durch den Annew.A-Wurm deaktiviert

Geschrieben von: | 2007. Februar 14 | | 0 |

Der Wurm Annew.A nimmt einige Änderungen an ausgewählten Computern vor und versucht dann, bestimmte Windows-Dienste oder -Anwendungen zu deaktivieren.

Der Wurm Annew.A verbreitet sich hauptsächlich über Wechselmedien. Der Wurm erstellt auf ihnen auch eine Datei, die automatisch startet, wenn das Medium gemountet wird. Sobald dies geschieht, erstellt es eine Reihe von Dateien auf dem Systemlaufwerk und ändert dann die Registrierung. Dadurch wird unter anderem die Windows-Systemwiederherstellung deaktiviert.

Der Wurm beginnt dann mit „spektakulären“ Operationen. Es zeigt beispielsweise eine falsche Fehlermeldung an, ändert den Text in der Titelleiste der Fenster und stoppt Prozesse für Anwendungen.

Wenn der Annew-Wurm startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
% UserProfile% \ Anwendungsdaten \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [Dateiname] .exe

2. Kopieren Sie die Datei % SystemDrive% \ [Dateiname] .exe mit einem anderen Namen so oft, wie der Wurm startet.

3. Erstellt eine autorun.inf-Datei auf Wechseldatenträgern, die sicherstellt, dass der Wurm automatisch startet, wenn Sie Medien an Computer anschließen.

4. Erstellen Sie die folgenden Einträge in der Registrierungsdatenbank:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Shell“ = „Explorer.exe% windir% \ msdos.pif“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run „MsnMsgr“ = „% System% \ msnmsgr.exe“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run „MsnMsgr“ = „C: \ WINDOWS \ system32 \ msnmsgr.exe“

5. Ändern Sie die folgenden Einträge in der Registrierungsdatenbank:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ System „DisableRegistryTools“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ System „DisableCMD“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ System „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableRegistryTools“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableCMD“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System „DisableTaskMgr“ = „1“

6. Ändern Sie die folgenden Einträge in der Registrierungsdatenbank:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Richtlinien \ Microsoft \ Windows NT \ SystemRestore „DisableConfig“ = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Richtlinien \ Microsoft \ Windows NT \ SystemRestore „DisableSR“ = „1“

Dadurch wird die Windows-Systemwiederherstellungsfunktion deaktiviert.

7. Ändern Sie die folgenden Einträge in der Registrierung:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoFolderOptions“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „Norun“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoFind“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoSetFolders“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer „NoLogoff“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „Hidden“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „Hidden“ = „0“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „HideFileExt“ = „0“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „HideFileExt“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „ShowSuperHidden“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced „ShowSuperHidden“ = „0“

8. Zeigt eine Fehlermeldung mit dem Titel „Application Error“ und der Meldung „0xFFFFFFFF“ an.

9. Fügen Sie den folgenden Text in die Titelleiste jedes Fensters ein:
[^ _ ^ Antivirus ^ _ ^]

10. Stoppt Prozesse, deren Namen die folgenden Wörter enthalten:
cmd
mconfig
Auftrag
Proc
Sechskant
Spion.

Lektüre: 1

Messen:

Über den Autor

Klammern

zusammenhängende Posts

Neue tragbare StoreJet-Festplatten von Transcend

Neue tragbare StoreJet-Festplatten von Transcend

2010-05-05

16 × externer DVD-Brenner von Plextor

16 × externer DVD-Brenner von Plextor

2006-11-06

Abschließbares Festplattengehäuse von IOTEK Korea

Abschließbares Festplattengehäuse von IOTEK Korea

2007-11-27

Hitachi Blu-Ray / HD DVD-Laufwerk mit SATA-Anschluss

Hitachi Blu-Ray / HD DVD-Laufwerk mit SATA-Anschluss

2007-06-13

banner

KaufenBestGear

Anzeige

ranvee

Ranvee Haushaltsgeräte