Vyhlasovateľ vírusov - Trójsky kôň Mournor žongluje s Windows
Trójsky kôň Mournor sa „čaruje“ s určitými systémovými súbormi Windows a spôsobuje škody.
A Smútiť Trojan sa predovšetkým pokúša použiť súbor explorer.exe, ktorý je neoddeliteľnou súčasťou systému Windows, na vlastné účely. Infikuje tento systémový súbor a zaisťuje, že sa môže automaticky načítať pri každom reštarte operačného systému. Ak to chcete urobiť, neupravíte register, ale umiestnite súbor s názvom autorun.inf do koreňového adresára systémovej jednotky. V takom prípade nástroj Obnovovanie systému Windows nemôže pomôcť zapísať vírusy na počítače infikované Mournorovými trójskymi koňmi, pretože Trojan môže dosiahnuť cieľ jednoduchým odstránením súboru tak, aby počas prípadného obnovenia nebolo možné obnoviť pôvodný súbor explorer.exe. Mournor si tiež môže stiahnuť ďalší malware cez internet.
Keď sa trójsky kôň Mournor spustí, vykoná nasledujúce akcie:
- Vytvorte nasledujúce súbory:
% System% explorer.exe
% Windir% explorer.exe [15 náhodných znakov]
% System% SERVICES.EXE
% System% SYSANALYSIS.EXE
% SystemDrive% Mourn_Operator.exe - Skopírujte nasledujúci súbor do koreňového adresára systému.
% SystemDrive% AUTORUN.INF
Tým sa automaticky spustí súbor Mourn_Operator.exe. - Vytvorte nasledujúci neškodný súbor:
% UserProfile% Local SettingsTemp - Odstráni nasledujúci súbor
% System% dllcacheexplorer.exe
To neumožňuje obnoviť súbor v programe Windows Prieskumník pomocou funkcie Obnovovanie systému. - Upravte nasledujúci súbor:
% Windir% explorer.exe - Pridajte nasledujúci záznam do registračnej databázy:
HKEY_LOCAL_MACHINE \ Microsoft \ Windows \ CurrentVersion \ Run - Upravuje nasledujúce kľúče databázy Registry:
HKEY_LOCAL_MACHINE \ Microsoft \ Windows \ CurrentVersion \
Explorer \ Advanced \ Folder \ Hidden \ SHOWALL
HKEY_LOCAL_MACHINE \ Microsoft \ Windows \ CurrentVersion \
Explorer \ Advanced \ Folder \ HideFileExt
