Троянецът Wnetpols е много привързан
Троянците Wnetpols могат да бъдат доста трудни за премахване от заразени компютри.
A Wnetpols trojan прави много промени в избрани системи. След като злонамерените файлове са създадени, той заразява процеси и продължава да работи зад тях. Чрез модифициране на системния регистър, троянецът гарантира, наред с други неща, че защитната стена на Windows не блокира интернет връзките, които установява. След това отваря задна порта, през която нападателите могат да извършват различни злонамерени действия.
Една от най-лошите характеристики на Wnetpols е, че е много трудно да се премахне от заразените компютри. Това е така, защото ако потребител или антивирусен софтуер се опита да изтрие файловете си, той веднага ще създаде нови. И ако услугата за вашия троянец спре, тя ще се рестартира скоро.
Когато стартира троянецът Wnetpols, той изпълнява следните действия:
- Създайте следните файлове:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [произволни числа] .tmp
% Windir% \ Temp \ wnp [произволни числа] .tmp - Той заразява следните процеси:
winlogon.exe
explorer.exe
iexplore.exe - Създава следните записи в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
„Windows
Услуга за управление на мрежови правила ”=„% System% \ wnpms.exe ”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
„Windows
Услуга за управление на мрежови правила ”=„% System% \ wnpms.exe ” - Променете следните стойности в системния регистър:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
"C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd ”StartupPrograms” = “rdpclip, wnpms.exe” - Създава услуга, наречена „Windows Network Policy Manager Service“.
- Добавете следния ключ към базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Ако някой от вашите файлове бъде изтрит, ще го възстановите незабавно.
- Деактивира вградената защитна стена на Windows, като модифицира системния регистър:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Система% \ wnpms.exe ”
= "% System% \ wnpms.exe: *: Активирано: Услуга на диспечера на мрежовите политики на Windows"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Windir% \ Explorer.EXE ”
= "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Активирано: Услуга на Windows Network Policy Manager" - Създава два мютекса, за да изпълнява само един екземпляр наведнъж в заразената система.
- Той постоянно следи собствения си процес и ако спре, той се рестартира.
- Той отваря задна врата и чака заповедите на нападателите.