Reztrict 蠕虫使 Windows 瘫痪

一种名为 Reztrict 的蠕虫，传播速度非常快，它对 Windows 进行了大量更改，然后使许多系统功能无法访问，造成严重的烦恼。

Reztrict 主要通过电子邮件分发。 该蠕虫从受感染计算机上的各种地址簿中收集所需的电子邮件地址。 该恶意软件对 PC 进行了许多更改，可能会引起很多烦恼。 例如，它使搜索、运行、关闭计算机、注销等功能不可用。 它还隐藏控制面板并更改 Internet Explorer 主页。

Reztrict 蠕虫还可以通过 Internet 下载文件，然后将其安装在受感染的计算机上。

当 Reztrict 蠕虫启动时，它会执行以下操作：

1. 如果您之前已将其下载到您的计算机，您将看到一条包含以下文本的消息：
没有 abras el 病毒 2 veces 害怕@ !!

2. 创建以下文件：
% UserProfile% \ Local Settings \ Temp \ VIRUS v2.0.vbs

3. 它从 Internet 下载文件并将其保存到 Windows“addins”目录中，名称为 svchost.exe。

4. 在注册数据库中创建以下条目：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”svchost” = “%Windir%\addins\svchost.exe”

5. 修改以下注册表项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFind” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoRun” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoClose” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”StartMenuLogOff” = “1”
这使得 Windows 搜索、运行、关闭和注销命令无法访问。

6. 修改以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer”” = “(valor no estáblado)”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDesktop” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”HideClock” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoControlPanel” = “1”
HKEY_CURRENT_USER\Software\Policies\Microsoft”Homepage” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”起始页”=“[http://]prostitutas.com”
这会隐藏桌面、时钟、控制面板上的图标，并更改 Internet Explorer 主页。

7. 从 Windows Messenger 收集地址并将它们保存到 % Windir%\mis contactos.txt 文件中。

8. 扫描注册表查找电子邮件地址并将其保存到% Windir%\mis contactos.txt。

9. 开始向收集的电子邮件地址发送邮件。 这些可能包括：
科莫安丹？？？ tanto tiempo che !!
科莫安丹？？？ tanto tiempo che !!
MSN 全面质量管理！！！ 科莫埃斯塔斯？

10. 停止 explorer.exe 进程。