Červ Badday zúri v schránke

Badday. Červ sa šíri predovšetkým na vymeniteľných a sieťových diskoch a na infikovaných počítačoch vykonáva množstvo nepríjemných operácií.

Badday. Červ vytvára na vybraných počítačoch veľa súborov a vytvára alebo upravuje najmenej toľko záznamov v registri. Tieto zmeny okrem iného zneprístupňujú Správcu úloh systému Windows a Editor databázy Registry.

V niektorých prípadoch červ zatvára okná a neustále mení obsah schránky, čo nemôže infikovanému používateľovi počítača spôsobiť žiadne nepríjemnosti.

Keď sa červ Badday.A spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
% Windir% \ Media \ StartUp \ scvhost.exe
% System% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys

2. Skopírujte na disk CK nasledujúce súbory:
Jednotka% je% \ New_Folder.exe
% písmeno jednotky% \ autorun.inf
Písmeno% disku je% \ cool data.exe
% písmeno jednotky% \ Nová zložka (4) .exe
Jednotka% je% \ dataku.exe
% písmeno jednotky% \ data kuliah.exe
% písmeno jednotky% \ Nová zložka (5) .exe
Jednotka% je% \ system.exe
% písmeno jednotky% \ funny doc.exe

3. Vytvorte si kópie seba nasledovne:
% aktuálny adresár% \ jangan dihapus .exe
% aktuálny adresár% \ my sweetety .exe
% aktuálny adresár% \ foto cewek .exe
% aktuálny adresár% \ kekasishku .exe
% aktuálny adresár% \ data penting .exe
% aktuálny adresár% \ downlodan .exe
% aktuálny adresár% \ aktualizovať antivir .exe
% aktuálny adresár% \ kumulan program .exe
% aktuálny adresár% \ film bkp .exe
% aktuálny adresár% \\\ itip .exe
% aktuálny adresár% \ možnosť priečinka .exe

4. Do registračnej databázy pridajte tieto položky:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”NeverShow Ext” = “”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\App Paths\WindowsProfile.EXE”(predvolené)” = “%Windir%\Media\StartUp\scvhost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”WindowsProfile” = “WindowsProfile Rundll32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Printer Cpl” = “%Windir%\spool32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Curren tVersion\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer”DisableMSI” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Window Title” = “>> Máte zlý deň <<“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\User Shell Folders”Startup” = “%Windir%\Media\StartUp”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoRun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”Microsoft Word” = “%System%\hostdll.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”

5. V registračnej databáze upravte nasledujúce hodnoty:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile” (predvolené) ” = “Priečinok súboru”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”TileInfo” = “prop:DocComments”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”InfoTip” = “prop:DocComments”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\\egfile\shell\open \command”(predvolené)” = “cmd.exe /c del “%1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOrganization” = “váš systém je môj”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOwner” = “váš systém je môj”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe, C:\WINDOWS\system32\taskfile.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “2”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "HideFileExt" = 1 ″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ClassicViewState” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoDriveTypeAutoRun” = “5B”

6. Nájdite súbory s nasledujúcimi príponami:
.doc
.mpg
3 str
WMV
. Zriedkavo
.jpg
. Txt

Vytvoríte ich kópiu pridaním prípony .exe k názvom súborov.

7. Zatvorte okná, ktoré majú v záhlaví jedno z nasledujúcich slov:
zabiť
únos
reg
proces

8. Pokračujte v kopírovaní textu „Have a Bad Day“ do schránky.