Windows е парализиран от червея Reztrict

Червей, наречен Reztrict, който може да се разпространи доста бързо, прави много промени в Windows и след това прави много системни функции недостъпни, причинявайки сериозни досади.

Reztrict се разпространява предимно чрез имейли. Червеят събира необходимите имейл адреси от различни адресни книги на заразени компютри. Злонамереният софтуер прави редица промени във вашия компютър, които могат да причинят много досада. Например прави функции като търсене, стартиране, изключване на компютъра, излизане и т.н. недостъпни. Той също така скрива контролния панел и променя началната страница на Internet Explorer.

Червеят Reztrict може също да изтегля файлове през интернет, които инсталира на заразени компютри.

Когато червеят Reztrict стартира, той изпълнява следните действия:

1. Ако преди това сте го изтеглили на вашия компютър, ще видите съобщение със следния текст:
No abras el virus 2 veces pelotud@!!

2. Създайте следния файл:
% UserProfile% \ Local Settings \ Temp \ VIRUS v2.0.vbs

3. Изтеглете файл от Интернет, който е запазен в директорията на Windows „addins“ като svchost.exe.

4. Създайте следния запис в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run ”svchost” = “% Windir% \ addins \ svchost.exe”

5. Модифицирайте следните ключове на системния регистър:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer “NoFind” = “1”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer “NoRun” = “1”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer “NoClose” = “1”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer ”StartMenuLogOff” = “1”
Това прави командите за търсене, стартиране, изключване и излизане от Windows недостъпни.

6. Модифицирайте следните ключове на системния регистър:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ Explorer ”” = “(доблест няма establecido)”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer “NoDesktop” = “1”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer “HideClock” = “1”
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer “NoControlPanel” = “1”
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft "Homepag e" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main "Начална страница" = "[http: //] prostitutas.com"
Това скрива иконите на работния плот, часовника, контролния панел и променя началната страница на Internet Explorer.

7. Съберете адресите от Windows Messenger и ги запазете във файл% Windir% \ mis contactos.txt.

8. Сканирайте системния регистър, за да намерите имейл адреси и ги запазете в% Windir% \ mis contactos.txt.

9. Започнете да изпращате поща на събраните имейл адреси. Те могат да включват:
COmo andan ??? tanto tiempo che !!
COmo andan ??? tanto tiempo che !!
MSN TQM !!! как си?

10. Спира процеса explorer.exe.