Trójsky kôň Wnetpols je veľmi prítulný
Trójske kone Wnetpols je pomerne ťažké odstrániť z infikovaných počítačov.
A Wnetpols Trojan robí veľa zmien vo vybraných systémoch. Po vytvorení škodlivých súborov infikuje procesy a pokračuje v činnosti za nimi. Úpravou registra trójsky kôň okrem iného bráni bráne firewall systému Windows zasahovať do internetových pripojení, ktoré vytvára. Následne otvorí zadné dvierka, cez ktoré môžu útočníci vykonávať rôzne škodlivé akcie.
Jednou z najhorších vlastností Wnetpols je, že je veľmi ťažké ho odstrániť z infikovaných počítačov. Ak sa totiž používateľ alebo antivírusový softvér pokúsi vymazať svoje súbory, okamžite si vytvorí nové. A ak sa služba pre vášho trójskeho koňa zastaví, čoskoro sa reštartuje.
Keď sa spustí trójsky kôň Wnetpols, vykoná nasledujúce akcie:
- Vytvorte nasledujúce súbory:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [náhodné čísla] .tmp
% Windir% \ Temp \ wnp [náhodné čísla] .tmp - Infikuje nasledujúce procesy:
Winlogon.exe
explorer.exe
iexplore.exe - Vytvorí nasledujúce záznamy v registračnej databáze:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
„Windows
Služba Network Policy Manager” = “%System%\wnpms.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
„Windows
Služba Network Policy Manager” = “%System%\wnpms.exe” - Upravte nasledujúce hodnoty v registri:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit“ =
„C:\WINDOWS\system32\userinit.exe, wnpms.exe“
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe” - Vytvorí službu s názvom „Služba správcu sieťovej politiky systému Windows“.
- Pridá nasledujúci kľúč do registračnej databázy:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Ak sa niektorý z vašich súborov odstráni, okamžite sa obnoví.
- Vypnutie vstavanej brány firewall systému Windows úpravou registra:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
parametre \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
System% \wnpms.exe “
= “%System%\wnpms.exe:*:Povolené:Služba správcu sieťovej politiky systému Windows”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
parametre \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Windir% \ Explorer.EXE “
= “%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Povolené:Služba správcu sieťovej politiky systému Windows” - Vytvorí dva mutexy na spustenie iba jednej inštancie súčasne v infikovanom systéme.
- Neustále sleduje svoj vlastný proces a ak sa zastaví, sám sa reštartuje.
- Otvára zadnú bránu a čaká na rozkazy útočníkov.
