Služby Windows deaktivuje červ Annew.A.

Červ Annew.A provede na vybraných počítačích několik změn a poté se pokusí zakázat určité služby nebo aplikace Windows.

Červ Annew.A se šíří především prostřednictvím vyměnitelných médií. Červ na nich také vytvoří soubor, který se spustí automaticky při připojení média. Jakmile k tomu dojde, vytvoří na systémové jednotce několik souborů a poté upraví registr. Mimo jiné se tím vypne nástroj Obnovení systému Windows.

Červ pak začne provádět „velkolepé“ operace. Například zobrazí falešnou chybovou zprávu, změní text v záhlaví oken a zastaví procesy pro aplikace.

Když červ Annew spustí, provede následující akce:

1. Vytvořte následující soubory:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [název_souboru] .exe

2. Zkopírujte soubor% SystemDrive% \ [název_souboru] .exe s jiným názvem tolikrát, kolikrát červ spustí.

3. Vytvořte soubor autorun.inf na vyměnitelných discích, který zajistí, že se červ spustí automaticky po připojení média k počítačům.

4. Vytvořte v registrační databázi následující položky:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = „Explorer.exe% windir% \ msdos.pif”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run ”MsnMsgr” = „% System% \ msnmsgr.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run ”MsnMsgr” = „C: \ WINDOWS \ system32 \ msnmsgr.exe”

5. Upravte následující položky v registrační databázi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableCMD” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"

6. Upravte následující položky v registrační databázi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableSR” = „1“

Tím se vypne funkce Obnovení systému Windows.

7. Upravte následující položky v registrační databázi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „NoFolderOptions“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „Norun“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „NoFind“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „NoSetFolders“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „NoLogoff“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced „Hidden“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced „Hidden“ = „0“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = „0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = „0”

8. Zobrazí chybovou zprávu s názvem „Chyba aplikace“ a zprávou „0xFFFFFFFF“.

9. Umístěte následující text do záhlaví každého okna:
[ ^ _ ^ Anti Antivirus ^ _ ^]

10. Zastaví procesy, které mají v názvu následující slova:
cmd
mconfig
úkol
Proc
Hex
Špión.