Trojský kůň Wnetpols je velmi přívětivý

Odstranění trojských koní Wnetpols z infikovaných počítačů může být docela obtížné.

A Wnetpols trojan provádí mnoho změn ve vybraných systémech. Po vytvoření škodlivých souborů infikuje procesy a nadále pracuje za nimi. Trojský kůň mimo jiné úpravou registru zajistí, aby brána Windows Firewall nezasahovala do vytvářených internetových připojení. Poté otevře zadní bránu, pomocí které mohou útočníci provádět různé škodlivé akce.

Jednou z nejhorších vlastností Wnetpolů je, že je velmi obtížné je z infikovaných počítačů odstranit. Je to proto, že pokud se uživatel nebo antivirový software pokusí smazat své soubory, okamžitě vytvoří nové. A pokud se služba pro vašeho trojského koně zastaví, brzy se restartuje.

Po spuštění trojského koně Wnetpols provede následující akce:

1. Vytvořte následující soubory:
   % System% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [náhodná čísla] .tmp
   % Windir% \ Temp \ wnp [náhodná čísla] .tmp
2. Infikuje následující procesy:
   Winlogon.exe
   explorer.exe
   iexplore.exe
3. Vytvoří následující záznamy v registrační databázi:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Okna
   Služba Network Policy Manager ”=“% System% \ wnpms.exe ”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Okna
   Služba Network Policy Manager ”=“% System% \ wnpms.exe ”
4. Upravte následující hodnoty v registru:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit“ =
   "C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd ”StartupPrograms” = “rdpclip, wnpms.exe”
5. Vytvoří službu nazvanou „Služba Windows Network Policy Manager“.
6. Přidejte následující klíč do registrační databáze:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms
7. Pokud některý z vašich souborů bude smazán, okamžitě jej obnovíte.
8. Zakáže integrovanou bránu firewall systému Windows úpravou registru:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Systém% \ wnpms.exe ”
   = "% System% \ wnpms.exe: *: Povoleno: Služba Správce síťových zásad systému Windows"
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Windir% \ Explorer.EXE ”
   = "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Povoleno: Služba Správce síťových zásad systému Windows"
9. Vytvoří dvě mutexy pro spuštění pouze jedné instance v infikovaném systému najednou.
10. Neustále sleduje svůj vlastní proces, a pokud se zastaví, restartuje se.
11. Otevírá zadní bránu a čeká na rozkazy útočníků.