Hannuch 蠕虫是 Windows 的一个技巧
Hannuch.A 蠕虫在更改 Windows 中的某些设置后尝试在闪存驱动器上传播。
A 汉努奇 蠕虫以名为 copy.exe 的文件形式传播,主要通过可移动驱动器传播。 在您的计算机上,它会在其中一个 Windows 系统目录中创建一个文件,然后确保每次加载操作系统时它都能自动启动。
Hannuch.A 对注册数据库进行了几处更改。一方面,对于 Windows 2000,它使得用户无法从操作系统中定期注销。它还从“我的电脑”中删除“文件夹设置”,从而试图使其删除变得更加困难。蠕虫为自己的股票提供了隐藏属性,并试图通过这个简单的技巧保持隐形。
当 Hannuch.A 木马启动时,它会执行以下操作:
- 打开 Windows 资源管理器并创建以下文件:
%系统%\vhchosts.exe - 在注册数据库中创建以下条目:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = “vhhosts.exe”
HKCU\Software\chunhan\\\gay = “[本月的当前日期]” - 它通过可移动驱动器传播。 它将一个名为 copy.exe 的文件和一个 autorun.inf 复制到它们上面。
- 通过修改注册表禁用 Windows 中的“注销”选项:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
没有注销=“00000001”
此更改仅对 Windows 2000 有效。 - 修改注册数据库如下:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
无文件夹选项 = “00000001” - 向您自己的文件添加隐藏属性。