Wnetpols 木马非常依从
Wnetpols 木马程序很难从受感染的计算机中删除。
A 网络警察 特洛伊木马对选定的系统进行了许多更改。 创建恶意文件后,它会感染进程并继续在它们后面运行。 通过修改注册表,木马确保 Windows 防火墙不会干扰它创建的 Internet 连接。 然后它打开一个后门,攻击者可以通过它执行各种恶意操作。
Wnetpols 最糟糕的功能之一是很难从受感染的计算机中删除。 这是因为如果用户或防病毒软件试图删除他们的文件,他们会立即创建新文件。 如果您的特洛伊木马服务停止,它将很快重新启动。
当 Wnetpols 木马启动时,它会执行以下操作:
- 创建以下文件:
%系统%\wnpms.exe
% Windir% \ Temp \ wnpms_ [随机数] .tmp
% Windir% \ Temp \ wnp [随机数] .tmp - 它感染以下进程:
winlogon.exe文件
explorer.exe的
IEXPLORE.EXE - 在注册数据库中创建以下条目:
HKEY_LOCAL_MACHINE\软件\微软\Windows\CurrentVersion\运行\
“视窗
网络策略管理器服务”=“%System%\wnpms.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
“视窗
网络策略管理器服务”=“%System%\wnpms.exe” - 修改注册表中的以下值:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
“C:\WINDOWS\system32\userinit.exe、wnpms.exe”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe” - 创建一个名为“Windows 网络策略管理器服务”的服务。
- 将以下键添加到注册数据库:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnms - 如果您的任何文件被删除,您将立即恢复它。
- 通过修改注册表禁用 Windows 内置防火墙:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
rammeters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
系统%\wnpms.exe”
=“%System%\wnpms.exe:*:启用:Windows 网络策略管理器服务”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
rammeters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
Windir%\Explorer.EXE”
=“%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:启用:Windows 网络策略管理器服务” - 创建两个互斥体以在受感染系统上一次仅运行一个实例。
- 它不断地监视自己的进程,如果它停止,它会重新启动自己。
- 他打开后门,等待袭击者的命令。
