Červ Hannuch podvádí Windows
Červ Hannuch.A se pokouší rozšířit na flash disky po změně určitých nastavení ve Windows.
A Hannuch A. červ se šíří ve formě souboru s názvem copy.exe, primárně prostřednictvím vyměnitelných jednotek. Jakmile je v počítači, vytvoří na něm soubor v jednom ze systémových adresářů Windows a poté zajistí, aby se mohl spustit automaticky při každém načtení operačního systému.
Hannuch.A provede několik změn v registrační databázi. Na jedné straně v systému Windows 2000 to znemožňuje pravidelné odhlášení z operačního systému. Odebere také „Nastavení složky“ z tohoto počítače, což ztěžuje odebrání. Je to proto, že červ poskytuje svůj vlastní soubor se skrytým atributem a snaží se zůstat neviditelný pomocí tohoto jednoduchého triku.
Když trojský kůň Hannuch.A spustí, provede následující akce:
- Otevře Průzkumník Windows a vytvoří následující soubor:
% System% \ vhchosts.exe - Vytvořte následující položku v registrační databázi:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ systray = “vhchosts.exe”
HKCU \ Software \ chunhan \\\ gay = „[aktuální den v měsíci]“ - Šíří se přes vyměnitelné disky. Zkopíruje do nich soubor s názvem copy.exe a autorun.inf.
- Úprava registru zakáže možnost „odhlášení“ ve Windows:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoLogoff = „00000001“
Tato změna je účinná pouze pro Windows 2000. - Upravte registrační databázi následujícím způsobem:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoFolderOptions = „00000001“ - Přidá skrytý atribut do vašeho vlastního souboru.