Софтуерът за защита е деактивиран от червея Pintae
Червеят Pintae.A се разпространява чрез имейли и мрежови споделяния. Основната опасност е, че ще деактивира приложенията за сигурност, работещи под Windows.
Червеят Pintae.A модифицира системния регистър след създаване на няколко файла. Това прави диспечера на задачите и редактора на системния регистър недостъпни, наред с други неща. Също така променя настройките в Windows Explorer.
Pintae.A спира процесите за различен софтуер за сигурност и се препраща към имейл адреси, събрани от адресната книга на Windows. Червеят също се опитва да зарази допълнителни компютри чрез мрежови споделяния.
Pintae.A също създава файл, който събира много системна информация. Това съхранява, наред с други неща, името на компютъра, потребителската информация, настройките на пощата и времето на заразяване.
Когато червеят Pintae.A се стартира, той изпълнява следните действия:
1. Създайте следните файлове:
% UserProfile% \ Start Menu \ Programs \ Startup \ MSKernell.bat
% System% \ AutoRun.bat
% Windir% \ Изход към DosPrompt.pif
Readme.scr (в основната директория на устройства C и D)
info.txt (в основната директория на дискове C и D)
2. Заредете следната информация във файла info.txt:
Потребителско име
Име на компютъра
- Адрес на POP3 сървър
- SMTP информация
- дата и час на заразяване
3. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавя към вашия ключ
“NOYPI_KANG_ASTIG” = “% Windows% \ Изход към DosPrompt.pif”
“Taetae” = “% Windows% \ Изход към DosPrompt.pif”.
4. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ RunServices
добавя към вашия ключ
“TANG_INA_MO” = “% System% \ AutoRun.bat”
“Taengtae” = стойности “% System% \ AutoRun.bat”.
5. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
в ключа променя
„DisableTaskMgr“ = „1“
“DisableRegistryTools” = “1” стойности.
6. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer
в ключа променя
„NoFolderOptions“ = „1“
“NoFind” = “1” стойности.
7. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer
в ключа променя
“Ограничения NoFindFiles” = “1”.
8. Съберете имейл адресите от адресната книга на Windows и ги препратете към тях.
Обектът на заразените листа може да бъде:
CDO.Съобщение
ФИЛИПИНО \\ ”ТАЙНИ
Моите документи
Нова информация за вируси
Правителство на Филипините строго секретно
Информация за вируси TaeTae
Името на файла на заразената прикачена поща може да бъде:
DATA.DOC.exe
DOCUMENT.DOC.exe
INFO.DOC.exe
README.DOC.exe
TAETAE.TXT.exe
9. Спира процесите, свързани със софтуера за защита.
