Windows-tjenester er deaktivert av Annew.A-ormen

Annew.A -ormen gjør ganske mange endringer på utvalgte datamaskiner og prøver deretter å deaktivere visse Windows -tjenester eller -programmer.

Annew.A -ormen sprer seg først og fremst gjennom flyttbare medier. Ormen oppretter også en fil på disse som starter automatisk når mediet er montert. Når dette skjer, oppretter det et antall filer på systemstasjonen og endrer deretter registret. Dette slår av blant annet Windows System Restore.

Ormen begynner da å utføre "spektakulære" operasjoner. For eksempel viser den en falsk feilmelding, endrer deretter teksten i tittellinjen til vinduer og stopper prosesser som tilhører applikasjoner.

Når Annew -ormen starter, utfører den følgende handlinger:

1. Opprett følgende filer:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [filnavn] .exe

2. Kopier% SystemDrive% \ [filnavn] .exe -filen med et annet navn så mange ganger ormen starter.

3. Lag en autorun.inf -fil på flyttbare disker som sikrer at ormen starter automatisk når du kobler media til datamaskiner.

4. Opprett følgende oppføringer i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe %windir%\msdos.pif”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “%System%\msnmsgr.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”

5. Endre følgende oppføringer i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”

6. Endre følgende oppføringer i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”

Dette slår av Windows System Restore -funksjonen.

7. Endre følgende oppføringer i registreringsdatabasen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Norun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”

8. Den viser en feilmelding med tittelen "Application Error" og meldingen "0xFFFFFFFF".

9. Plasser følgende tekst i tittellinjen i hvert vindu:
[ ^ _ ^ Anti Antivirus ^ _ ^]

10. Stopper prosesser som har følgende ord i navnene:
cmd
mconfig
oppgave
Proc
Hex
Spion.