防病毒软件被Phoney.A蠕虫模仿

Phoney.A 蠕虫主要通过网络共享传播，并试图通过虚假防病毒消息欺骗用户。

Phoney.A 蠕虫将自己的文件复制到每个网络上的共享目录中，并确保在安装这些文件时自动启动。 该蠕虫对注册表进行了大量更改。 它们显着削弱了对计算机的保护，并使注册表编辑器或任务管理器等工具无法访问。

Phoney.A 蠕虫会显示一个虚假但极具欺骗性的 Norton AntiVirus 窗口，然后确保即使 Windows 在安全模式下启动它也可以加载。 该恶意软件的另一个烦人且不方便的功能是它每半小时重新启动受感染的计算机。

当Phoney.A蠕虫启动时，它会执行以下操作：

1. 创建以下文件：
C:\Documents and Settings\All Users\开始菜单\程序\启动\Empty.pif
% Windir% \ Autorun.inf
%系统%\web.exe
% Windir%\winxp.exe
% CurrentFolder% \ [目录名] .exe

2. 在每个挂载驱动器的根目录下创建以下文件：
AUTORUN.INF
微软

3. 将以下条目添加到注册数据库：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”Bron” = “%Windir%\winxp.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Rontok” = “Explorer.exe “%Windir%\winxp.exe””
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe、%Windir%\winxp.exe”

4. 将以下条目添加到注册数据库：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”隐藏” = “4”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoClose” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDesktop” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Nofolderoptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”NoNetSetup” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”NoDispCPL” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”禁用=“4”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug”Auto” = “”1””
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer”DisableMSI” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT\batfile\shell\open\command”(默认值)” = “”%System%\web.exe” “%1” %*”
HKEY_CLASSES_ROOT\comfile\shell\open\command”(默认值)” = “”%System%\web.exe” “%1” %*”
HKEY_CLASSES_ROOT\exefile”(默认值)” = “文件夹” = “”%System%\web.exe” “%1” %*”
HKEY_CLASSES_ROOT\lnkfile\shell\open\command”(默认值)” = “”%System%\web.exe” “%1” %*”
HKEY_CLASSES_ROOT\piffile\shell\open\command”(默认值)” = “”%System%\web.exe” “%1” %*”

5. 修改注册表，使其在安全模式下启动 Windows 时加载，如下所示：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot”AlternateShell” = “%System%\web.exe”

6. 每半小时重启一次电脑。

7. 显示一个虚假的 Norton AntiVirus 消息框。

8. 关闭标题栏中包含特定词的窗口。