دودة Hannuch هي خدعة مع Windows
تحاول الدودة Hannuch.A الانتشار على محركات أقراص فلاش بعد تغيير إعدادات معينة في Windows.
A حنوش ينتشر الفيروس المتنقل في شكل ملف يسمى copy.exe ، بشكل أساسي من خلال محركات الأقراص القابلة للإزالة. بمجرد الوصول إلى جهاز الكمبيوتر الخاص بك ، يقوم بإنشاء ملف عليه في أحد أدلة نظام Windows ثم يتأكد من أنه يمكن أن يبدأ تلقائيًا في كل مرة يتم فيها تحميل نظام التشغيل.
يقوم Hannuch.A بإجراء العديد من التغييرات على قاعدة بيانات التسجيل. من ناحية أخرى ، يجعل من المستحيل على Windows 2000 تسجيل خروج المستخدم العادي من نظام التشغيل. كما أنه يزيل "إعدادات المجلد" من "جهاز الكمبيوتر" ، مما يجعل من الصعب إزالتها. هذا لأن الدودة تزود ملفها الخاص بسمة مخفية وتحاول أن تظل غير مرئية بهذه الحيلة البسيطة.
عندما يبدأ حصان طروادة Hannuch.A ، فإنه يقوم بالإجراءات التالية:
- يفتح مستكشف Windows وينشئ الملف التالي:
٪ النظام٪ \ vhchosts.exe - قم بإنشاء الإدخال التالي في قاعدة بيانات التسجيل:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ systray = "vhchosts.exe"
HKCU \ Software \ chunhan \\\ gay = "[اليوم الحالي من الشهر]" - ينتشر من خلال محركات الأقراص القابلة للإزالة. يقوم بنسخ ملف يسمى copy.exe و autorun.inf عليها.
- يؤدي تعديل السجل إلى تعطيل خيار "تسجيل الخروج" في نظام التشغيل Windows:
HKCU \ برامج \ مايكروسوفت \ ويندوز \ كرنتفرسون \ سياسات \ مستكشف \
NoLogoff = "00000001"
هذا التغيير فعال لنظام التشغيل Windows 2000 فقط. - قم بتعديل قاعدة بيانات التسجيل كما يلي:
HKCU \ برامج \ مايكروسوفت \ ويندوز \ كرنتفرسون \ سياسات \ مستكشف \
NoFolderOptions = "00000001" - يضيف سمة مخفية إلى ملفك الخاص.
