Windows 服务被 Annew.A 蠕虫禁用

Annew.A 蠕虫会对选定的计算机进行大量更改，然后尝试禁用某些 Windows 服务或应用程序。

Annew.A 蠕虫主要通过可移动媒体传播。 该蠕虫还会在它们上面创建一个文件，该文件在安装媒体时会自动启动。 一旦发生这种情况，它会在系统驱动器上创建许多文件，然后修改注册表。 这会关闭 Windows 系统还原等功能。

然后蠕虫开始执行“壮观”的操作。例如，它显示虚假错误消息，然后更改窗口标题栏中的文本，并停止属于应用程序的进程。

当 Annew 蠕虫启动时，它会执行以下操作：

1. 创建以下文件：
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles%\default.exe
%系统%\msnmsgr.exe
% Windir%\msdos.pif
% SystemDrive% \ [文件名] .exe

2. 复制% SystemDrive% \ [filename] .exe 文件，在蠕虫启动时多次复制不同名称的文件。

3. 在可移动磁盘上创建一个 autorun.inf 文件，以确保当您将媒体连接到计算机时蠕虫会自动启动。

4. 在注册数据库中创建以下条目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe %windir%\msdos.pif”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “%System%\msnmsgr.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”

5. 修改注册数据库中的以下条目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”

6. 修改注册数据库中的以下条目：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”

这将关闭 Windows 系统还原功能。

7. 修改注册表中的以下条目：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Norun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”隐藏” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”隐藏” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”

8. 显示一条错误消息，标题为“应用程序错误”，消息为“0xFFFFFFFF”。

9. 在每个窗口的标题栏中放置以下文本：
[^_^杀毒^_^]

10. 停止名称中包含以下单词的进程：
CMD
配置文件
任务
PROC
十六进制
间谍。