Il worm Hannuch è un trucco con Windows
Il worm Hannuch.A tenta di diffondersi sulle unità flash dopo aver modificato alcune impostazioni in Windows.
A Hannuch.A worm si diffonde sotto forma di un file chiamato copy.exe, principalmente attraverso unità rimovibili. Una volta sul tuo computer, crea un file su di esso in una delle directory di sistema di Windows e quindi si assicura che possa avviarsi automaticamente ogni volta che viene caricato il sistema operativo.
Hannuch.A apporta diverse modifiche al database di registrazione. Da un lato nel caso di Windows 2000 rende impossibile il logout regolare degli utenti dal sistema operativo. Rimuove anche le “Impostazioni cartella” da Risorse del computer e quindi tenta di rendere più difficile la sua rimozione. Il worm fornisce al proprio ceppo un attributo nascosto e cerca di rimanere invisibile con questo semplice trucco.
Quando il Trojan Hannuch.A si avvia, esegue le seguenti azioni:
- Apre Esplora risorse e crea il seguente file:
% System% \ vhchosts.exe - Creare la seguente voce nel database di registrazione:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = "vhhosts.exe"
HKCU\Software\chunhan\\\gay = “[il giorno corrente del mese]” - Si diffonde attraverso unità rimovibili. Copia su di essi un file chiamato copy.exe e un autorun.inf.
- Disabilitare l'opzione "logout" in Windows modificando il registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
Nessuna disconnessione = "00000001"
Questa modifica è effettiva solo per Windows 2000. - Modificare il database di registrazione come segue:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoFolderOptions = "00000001" - Aggiunge un attributo nascosto al tuo file.
