选择页面

Virus Messenger - 防火墙被 Yahlover 蠕虫破坏

撰文: | 2008 年 29 月 XNUMX 日 | | 0 |

Yahlover.DH 蠕虫通过网络共享传播并试图禁用计算机上的防火墙。

A 耶洛夫 该蠕虫主要通过网络驱动器或共享进行传播。 该蠕虫对注册表进行了大量更改。 例如,您创建或修改新条目和删除键。 除其他外,您可以阻止 Windows 资源管理器显示用于隐藏在浏览器中的所有文件。 它还进行了更改以绕过 Windows 的内置防火墙。

Virus Messenger - 防火墙被 Yahlover 蠕虫破坏

Yahlover.DH 通过 Internet 在受感染的计算机上下载并安装其他恶意软件。

当 Yahlover.DH 蠕虫启动时,它会执行以下操作:

  1. 创建以下文件:
    %系统%\csrcs.exe
    %系统%\autorun.inf
  2. 以下条目将添加到注册数据库中:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policy\Explorer\Run\
    csrcs = “%System%\csrcs.exe”
    HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
    Shell = “Explorer.exe csrcs.exe”
    HKLM\SOFTWARE\Microsoft\DRM\amty\fix =“”
    HKLM\SOFTWARE\Microsoft\DRM\amty\exp1=[随机字符]
    HKLM\SOFTWARE\Microsoft\DRM\amty\dreg = [随机字符]
    HKLM\SOFTWARE\Microsoft\DRM\amty\kiu=[随机字符]
    HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ egol = [随机字符]
    HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [随机字符]
  3. 它查询受感染计算机的 IP 地址。
  4. 您正试图通过网络感染其他计算机。 将具有随机文件名的文件复制到这些文件中。
  5. 它通过 Internet 下载恶意程序。
  6. 禁用 Windows 内置防火墙:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile \ AuthorizedApplications \ List \
    [蠕虫文件名] = [蠕虫文件名]:*:启用:Windows Life Messenger
  7. 要禁用任何可能正在运行的 NOD32 安全软件,请修改注册表:
    HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
    Config000 \ Settings \ media_network = 双字:00000000
    HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
    Config000 \ 设置 \ exc = […]
    HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
    Config000 \ Settings \ exc_num = 双字:0000000c
  8. 以下条目将从注册数据库中删除:
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ 政策
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Ratings
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policy\system
  9. 修改注册表中的以下值:
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
    隐藏 = 双字:00000002
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
    SuperHidden = 双字:00000000
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
    ShowSuperHidden = 双字:00000000
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
    Folder \ Hidden \ SHOWALL \ CheckedValue = dword: 00000001

这会隐藏 Windows 资源管理器中隐藏且具有系统属性的文件。

阅读: 1 181

措施:

关于作者

辛加奇古克

相关文章

Internet Explorer 9 的候选版本即将推出

Internet Explorer 9 的候选版本即将推出

2011-01-31

所以还没有人编辑任何图片!

所以还没有人编辑任何图片!

2018-04-25

Futuremark 测试程序的修补程序

Futuremark 测试程序的修补程序

2007-10-12

虚幻引擎 4 动作(带视频!)

虚幻引擎 4 动作(带视频!)

2013-04-02

旗帜

购买BestGear

广告

兰维

兰维家电