Virus Messenger - Brána firewall je poškodená červom Yahlover
Červ Yahlover.DH sa šíri prostredníctvom zdieľania v sieti a snaží sa deaktivovať brány firewall na počítačoch.
A Yahlover.DH červy sa šíria predovšetkým prostredníctvom sieťových diskov alebo akcií. Červ robí v registri veľa zmien. Môžete napríklad vytvárať alebo upravovať nové položky a odstraňovať kľúče. Okrem iného môžete zabrániť tomu, aby Prieskumník Windows zobrazoval všetky súbory, ktoré v programe Prieskumník používate na skrytie. Vykonáva tiež zmeny, ktoré vám umožňujú obísť vstavaný firewall systému Windows.
Yahlover.DH sťahuje a inštaluje ďalší malware do infikovaných počítačov prostredníctvom internetu.
Keď sa červ Yahlover.DH spustí, vykoná nasledujúce akcie:
- Vytvorte nasledujúce súbory:
% System% \ csrcs.exe
% System% \ autorun.inf - Do registračnej databázy sa pridávajú tieto položky:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run \
csrcs = "%System%\csrcs.exe"
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = “Explorer.exe csrcs.exe”
HKLM\SOFTWARE\Microsoft\DRM\amty\fix = „“
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [náhodné znaky]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [náhodné znaky]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [náhodné znaky]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [náhodné znaky]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [náhodné znaky] - Zisťuje IP adresu infikovaného počítača.
- Pokúšate sa infikovať ďalšie počítače prostredníctvom siete. Skopíruje do nich súbory s náhodným názvom.
- Sťahuje škodlivé programy cez internet.
- Zakáže vstavaný firewall systému Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfile \ AuthorizedApplications \ List \
[názov súboru červa] = [názov súboru červa]: *: Povolené: Windows Life Messenger - Ak chcete zakázať akýkoľvek spustený bezpečnostný softvér NOD32, upravte register:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Moduly \ AMON \ Settings \
Config000 \ Settings \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Moduly \ AMON \ Settings \
Konfigurácia000 \ Nastavenia \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Moduly \ AMON \ Settings \
Konfigurácia000 \ Nastavenia \ exc_num = dword: 0000000c - Nasledujúce položky sa odstránia z registračnej databázy:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Ratings
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system - Upravte nasledujúce hodnoty v registri:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Skryté = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
SuperHidden = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Priečinok \ Skrytý \ SHOWALL \ CheckedValue = dword: 00000001
V Prieskumníkovi Windows sa skryjú súbory so skrytými a systémovými atribútmi.