Antivírus napodobňuje červ Phoney

Červ Phoney.A sa šíri predovšetkým prostredníctvom sieťových zdieľaní a pokúša sa oklamať používateľov prostredníctvom falošných antivírusových správ.

Červ Phoney.A skopíruje svoje vlastné súbory do zdieľaného adresára v každej sieti a tiež zabezpečuje ich automatické spustenie po ich pripojení. Červ vykonáva množstvo zmien v registri. Výrazne oslabujú bezpečnosť vašich počítačov a zneprístupňujú nástroje ako Editor databázy Registry alebo Správca úloh.

Červ Phoney.A zobrazuje falošné, no veľmi klamlivé okno Norton AntiVirus a potom zaisťuje, že sa môže načítať, aj keď sa Windows spustí v núdzovom režime. Ďalšou nepríjemnou a nepohodlnou vlastnosťou malvéru je, že každú pol hodinu reštartuje infikovaný počítač.

Keď sa červ Phoney.A spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [názov adresára] .exe

2. V koreňovom adresári každého pripojeného disku vytvorte nasledujúce súbory:
AUTORUN.INF
microsoft.exe

3. Do registračnej databázy pridajte tieto položky:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Bron” = “%Windir%\winxp.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Rontok” = “Explorer.exe “%Windir%\winxp.exe””
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe, %Windir%\winxp.exe”

4. Do registračnej databázy pridajte tieto položky:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “4”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoClose” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDesktop” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Nofolderoptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”NoNetSetup” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”NoDispCPL” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”Disable = “4”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug”Auto” = “”1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer”DisableMSI” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT\batfile\shell\open\command”(predvolená hodnota)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\comfile\shell\open\command”(predvolená hodnota)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\exefile”(predvolená hodnota)” = “Priečinok súboru” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\lnkfile\shell\open\command”(predvolená hodnota)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\piffile\shell\open\command”(predvolená hodnota)” = “”%System%\web.exe” “%1″ %*”

5. Upravte register tak, aby sa načítal pri spustení systému Windows v núdzovom režime, a to takto:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sa feBoot”AlternateShell” = “%System%\web.exe”

6. Reštartujte počítač každú pol hodinu.

7. Zobrazí falošné okno so správou Norton AntiVirus.

8. Zatvorte okná, ktoré v záhlaví obsahujú konkrétne slová.