Služby Windows deaktivuje červ Annew.A.

Červ Annew.A vykoná na vybraných počítačoch niekoľko zmien a potom sa pokúsi zakázať niektoré služby alebo aplikácie Windows.

Červ Annew.A sa šíri predovšetkým prostredníctvom vymeniteľných médií. Červ na nich tiež vytvorí súbor, ktorý sa automaticky spustí po pripojení média. Akonáhle sa to stane, vytvorí niekoľko súborov na systémovej jednotke a potom upraví register. Okrem iného sa tým vypne Obnovovanie systému Windows.

Červ potom začne vykonávať „veľkolepé“ operácie. Napríklad zobrazí falošné chybové hlásenie, potom zmení text v záhlaví okien a zastaví procesy patriace aplikáciám.

Keď červ Annew začne, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [názov súboru] .exe

2. Skopírujte súbor% SystemDrive% \ [názov súboru] .exe toľkokrát, koľkokrát sa červ spustí, s iným názvom.

3. Vytvorte súbor autorun.inf na vymeniteľných diskoch, ktorý zaistí automatické spustenie červa po pripojení média k počítačom.

4. V registračnej databáze vytvorte nasledujúce položky:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe %windir%\msdos.pif”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “%System%\msnmsgr.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”

5. Upravte nasledujúce položky v registračnej databáze:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”

6. Upravte nasledujúce položky v registračnej databáze:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”

Tým sa vypne funkcia Obnovovanie systému Windows.

7. Upravte nasledujúce položky v registri:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Norun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”

8. Zobrazí sa chybové hlásenie s názvom „Application Error“ a správou „0xFFFFFFFF“.

9. Do záhlavia každého okna vložte nasledujúci text:
[ ^ _ ^ Anti Antivirus ^ _ ^]

10. Zastaví procesy, ktoré majú v názve nasledujúce slová:
cmd
mconfig
úloha
proc
Hex
Špión.