Virus Messenger - 防火墙被 Yahlover 蠕虫破坏
Yahlover.DH 蠕虫通过网络共享传播并试图禁用计算机上的防火墙。
A 耶洛夫 该蠕虫主要通过网络驱动器或共享进行传播。 该蠕虫对注册表进行了大量更改。 例如,您创建或修改新条目和删除键。 除其他外,您可以阻止 Windows 资源管理器显示用于隐藏在浏览器中的所有文件。 它还进行了更改以绕过 Windows 的内置防火墙。
Yahlover.DH 通过 Internet 在受感染的计算机上下载并安装其他恶意软件。
当 Yahlover.DH 蠕虫启动时,它会执行以下操作:
- 创建以下文件:
%系统%\csrcs.exe
%系统%\autorun.inf - 以下条目将添加到注册数据库中:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policy\Explorer\Run\
csrcs = “%System%\csrcs.exe”
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = “Explorer.exe csrcs.exe”
HKLM\SOFTWARE\Microsoft\DRM\amty\fix =“”
HKLM\SOFTWARE\Microsoft\DRM\amty\exp1=[随机字符]
HKLM\SOFTWARE\Microsoft\DRM\amty\dreg = [随机字符]
HKLM\SOFTWARE\Microsoft\DRM\amty\kiu=[随机字符]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ egol = [随机字符]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [随机字符] - 它查询受感染计算机的 IP 地址。
- 您正试图通过网络感染其他计算机。 将具有随机文件名的文件复制到这些文件中。
- 它通过 Internet 下载恶意程序。
- 禁用 Windows 内置防火墙:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile \ AuthorizedApplications \ List \
[蠕虫文件名] = [蠕虫文件名]:*:启用:Windows Life Messenger - 要禁用任何可能正在运行的 NOD32 安全软件,请修改注册表:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ media_network = 双字:00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ 设置 \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc_num = 双字:0000000c - 以下条目将从注册数据库中删除:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ 政策
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Ratings
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policy\system - 修改注册表中的以下值:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
隐藏 = 双字:00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
SuperHidden = 双字:00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = 双字:00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Folder \ Hidden \ SHOWALL \ CheckedValue = dword: 00000001
这会隐藏 Windows 资源管理器中隐藏且具有系统属性的文件。