Троянецът Wnetpols е много привързан

Троянците Wnetpols могат да бъдат доста трудни за премахване от заразени компютри.

A Wnetpols trojan прави много промени в избрани системи. След като злонамерените файлове са създадени, той заразява процеси и продължава да работи зад тях. Чрез модифициране на системния регистър, троянецът гарантира, наред с други неща, че защитната стена на Windows не блокира интернет връзките, които установява. След това отваря задна порта, през която нападателите могат да извършват различни злонамерени действия.

Една от най-лошите характеристики на Wnetpols е, че е много трудно да се премахне от заразените компютри. Това е така, защото ако потребител или антивирусен софтуер се опита да изтрие файловете си, той веднага ще създаде нови. И ако услугата за вашия троянец спре, тя ще се рестартира скоро.

Когато стартира троянецът Wnetpols, той изпълнява следните действия:

1. Създайте следните файлове:
   % System% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [произволни числа] .tmp
   % Windir% \ Temp \ wnp [произволни числа] .tmp
2. Той заразява следните процеси:
   winlogon.exe
   explorer.exe
   iexplore.exe
3. Създава следните записи в базата данни за регистрация:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   „Windows
   Услуга за управление на мрежови правила ”=„% System% \ wnpms.exe ”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   „Windows
   Услуга за управление на мрежови правила ”=„% System% \ wnpms.exe ”
4. Променете следните стойности в системния регистър:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
   "C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd ”StartupPrograms” = “rdpclip, wnpms.exe”
5. Създава услуга, наречена „Windows Network Policy Manager Service“.
6. Добавете следния ключ към базата данни за регистрация:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms
7. Ако някой от вашите файлове бъде изтрит, ще го възстановите незабавно.
8. Деактивира вградената защитна стена на Windows, като модифицира системния регистър:
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Система% \ wnpms.exe ”
   = "% System% \ wnpms.exe: *: Активирано: Услуга на диспечера на мрежовите политики на Windows"
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Windir% \ Explorer.EXE ”
   = "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Активирано: Услуга на Windows Network Policy Manager"
9. Създава два мютекса, за да изпълнява само един екземпляр наведнъж в заразената система.
10. Той постоянно следи собствения си процес и ако спре, той се рестартира.
11. Той отваря задна врата и чака заповедите на нападателите.