Virus Messenger - защитната стена е повредена от червея Yahlover

Червеят Yahlover.DH се разпространява чрез мрежови споделяния и се стреми да деактивира защитната стена на компютрите.

A Yahlover.DH Червеят се разпространява предимно чрез мрежови устройства или споделяния. Червеят прави много промени в системния регистър. Например създавате или променяте нови записи и изтривате ключове. Освен всичко друго, можете да попречите на Windows Explorer да показва всички файлове, които използвате, за да скриете във вашия браузър. Той също така прави промени, за да заобиколи вградената защитна стена на Windows.

Yahlover.DH изтегля и инсталира допълнителен зловреден софтуер на заразени компютри чрез Интернет.

Когато червеят Yahlover.DH се стартира, той изпълнява следните действия:

1. Създайте следните файлове:
   % System% \ csrcs.exe
   % System% \ autorun.inf
2. Следните записи се добавят към базата данни за регистрация:
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer \ Run \
   csrcs = „% System% \ csrcs.exe“
   HKLM \ СОФТУЕР \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
   Shell = „Explorer.exe csrcs.exe“
   HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ fix = “”
   HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [произволни символи]
   HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [произволни символи]
   HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [произволни символи]
   HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [произволни символи]
   HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [произволни символи]
3. Запитва IP адреса на заразения компютър.
4. Опитвате се да заразите допълнителни компютри в мрежа. Копира файлове с произволно име на файл към тях.
5. Той изтегля злонамерени програми през Интернет.
6. Деактивира вградената защитна стена на Windows:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
   StandardProfile \ AuthorizedApplications \ List \
   [име на червей] = [име на файл на червей]: *: Активирано: Windows Life Messenger
7. За да деактивирате всеки софтуер за защита на NOD32, който може да работи, променете системния регистър:
   HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
   Config000 \ Настройки \ media_network = dword: 00000000
   HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
   Config000 \ Settings \ exc = […]
   HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
   Config000 \ Настройки \ exc_num = dword: 0000000c
8. Следните записи се изтриват от базата данни за регистрация:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Ratings
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ system
9. Променете следните стойности в системния регистър:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
   Скрито = dword: 00000002
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
   SuperHidden = dword: 00000000
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
   ShowSuperHidden = dword: 00000000
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
   Папка \ Скрит \ ШОУВАЛ \ Проверена стойност = dword: 00000001

Това скрива файлове в Windows Explorer, които са скрити и имат системни атрибути.