Velg Side

Wnetpols Trojan er veldig tilhenger

Skrevet av: | 2008. april 29 | | 0 |

Wnetpols -trojanere kan være ganske vanskelige å fjerne fra infiserte datamaskiner.

A Wnetpols trojan gjør mange endringer i utvalgte systemer. Etter at de ondsinnede filene er opprettet, infiserer de prosesser og fortsetter å operere bak dem. Ved å endre registret sikrer trojaneren blant annet at Windows -brannmuren ikke forstyrrer internettforbindelsene den oppretter. Den åpner deretter en bakport der angriperne kan utføre forskjellige ondsinnede handlinger.

En av de verste egenskapene til Wnetpols er at det er veldig vanskelig å fjerne fra infiserte datamaskiner. Dette er fordi hvis en bruker eller antivirusprogramvare prøver å slette filene sine, vil de opprette nye umiddelbart. Og hvis tjenesten for trojaneren din stopper, starter den på nytt om kort tid.

Wnetpols Trojan er veldig tilhenger

Når Wnetpols Trojan starter, utfører den følgende handlinger:

  1. Opprett følgende filer:
    % System% \ wnpms.exe
    % Windir% \ Temp \ wnpms_ [tilfeldige tall] .tmp
    % Windir% \ Temp \ wnp [tilfeldige tall] .tmp
  2. Det infiserer følgende prosesser:
    Winlogon.exe
    explorer.exe
    iexplore.exe
  3. Oppretter følgende oppføringer i registreringsdatabasen:
    HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
    "Windows
    Network Policy Manager Service" = "%System%\wnpms.exe"
    HKEY_CURRENT_USER \ Programvare \ Microsoft \ Windows \ CurrentVersion \ Run \
    "Windows
    Network Policy Manager Service" = "%System%\wnpms.exe"
  4. Endre følgende verdier i registret:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
    "C:\WINDOWS\system32\userinit.exe, wnpms.exe"
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe”
  5. Oppretter en tjeneste kalt "Windows Network Policy Manager Service".
  6. Legg til følgende nøkkel i registreringsdatabasen:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms
  7. Hvis noen av filene dine blir slettet, gjenoppretter du den umiddelbart.
  8. Deaktiverer den innebygde Windows-brannmuren ved å endre registret:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
    rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
    System% \ wnpms.exe ”
    = "%System%\wnpms.exe:*:Aktivert:Windows Network Policy Manager-tjeneste"
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
    rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
    Windir% \ Explorer.EXE ”
    = "%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Enabled:Windows Network Policy Manager Service"
  9. Oppretter to mutexer for å kjøre bare én forekomst om gangen på det infiserte systemet.
  10. Den overvåker hele tiden sin egen prosess, og hvis den stopper, starter den på nytt.
  11. Han åpner en bakport og venter på angripernes ordre.
Lesning: 2 106

Måle:

Om forfatteren

Clingers

Relaterte innlegg

Skann etter virus ved hjelp av Google

Skann etter virus ved hjelp av Google

2006-07-14

Mac OS X Snow Leopard er også tilgjengelig i Ungarn

Mac OS X Snow Leopard er også tilgjengelig i Ungarn

2009-09-01

Nytt farvann i Firefox: Aurora

Nytt farvann i Firefox: Aurora

2011-05-08

Kritisk farefeil i PowerPoint

Kritisk farefeil i PowerPoint

2009-04-06

banner

Kjøp BestGear

Annonse

ranvee

Ranvee Hvitevarer