Wnetpols Trojan er veldig tilhenger
Wnetpols -trojanere kan være ganske vanskelige å fjerne fra infiserte datamaskiner.
A Wnetpols trojan gjør mange endringer i utvalgte systemer. Etter at de ondsinnede filene er opprettet, infiserer de prosesser og fortsetter å operere bak dem. Ved å endre registret sikrer trojaneren blant annet at Windows -brannmuren ikke forstyrrer internettforbindelsene den oppretter. Den åpner deretter en bakport der angriperne kan utføre forskjellige ondsinnede handlinger.
En av de verste egenskapene til Wnetpols er at det er veldig vanskelig å fjerne fra infiserte datamaskiner. Dette er fordi hvis en bruker eller antivirusprogramvare prøver å slette filene sine, vil de opprette nye umiddelbart. Og hvis tjenesten for trojaneren din stopper, starter den på nytt om kort tid.
Når Wnetpols Trojan starter, utfører den følgende handlinger:
- Opprett følgende filer:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [tilfeldige tall] .tmp
% Windir% \ Temp \ wnp [tilfeldige tall] .tmp - Det infiserer følgende prosesser:
Winlogon.exe
explorer.exe
iexplore.exe - Oppretter følgende oppføringer i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Windows
Network Policy Manager Service" = "%System%\wnpms.exe"
HKEY_CURRENT_USER \ Programvare \ Microsoft \ Windows \ CurrentVersion \ Run \
"Windows
Network Policy Manager Service" = "%System%\wnpms.exe" - Endre følgende verdier i registret:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
"C:\WINDOWS\system32\userinit.exe, wnpms.exe"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe” - Oppretter en tjeneste kalt "Windows Network Policy Manager Service".
- Legg til følgende nøkkel i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Hvis noen av filene dine blir slettet, gjenoppretter du den umiddelbart.
- Deaktiverer den innebygde Windows-brannmuren ved å endre registret:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
System% \ wnpms.exe ”
= "%System%\wnpms.exe:*:Aktivert:Windows Network Policy Manager-tjeneste"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Windir% \ Explorer.EXE ”
= "%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Enabled:Windows Network Policy Manager Service" - Oppretter to mutexer for å kjøre bare én forekomst om gangen på det infiserte systemet.
- Den overvåker hele tiden sin egen prosess, og hvis den stopper, starter den på nytt.
- Han åpner en bakport og venter på angripernes ordre.