Антивирусът е имитиран от червея Phoney.A

Червеят Phoney.A се разпространява предимно чрез мрежови споделяния и се опитва да заблуди потребителите чрез фалшиви антивирусни съобщения.

Червеят Phoney.A копира собствените си файлове в споделена директория във всяка мрежа и също така гарантира, че се стартира автоматично, когато са монтирани. Червеят прави многобройни промени в системния регистър. Те значително отслабват защитата на компютрите и правят недостъпни инструменти като Редактор на системния регистър или Диспечер на задачите.

Червеят Phoney.A показва фалшив, но много измамен прозорец Norton AntiVirus и след това гарантира, че може да се зареди, дори ако Windows стартира в безопасен режим. Друга досадна и неудобна характеристика на зловредния софтуер е, че той рестартира заразения компютър на всеки половин час.

Когато червеят Phoney.A се стартира, той изпълнява следните действия:

1. Създайте следните файлове:
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [име на директория] .exe

2. Създайте следните файлове в основната директория на всяко монтирано устройство:
AUTORUN.INF
microsoft.exe

3. Добавете следните записи към базата данни за регистрация:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Изпълнете “Bron” = “% Windir% \ winxp.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Rontok” = “Explorer.exe“% Windir% \ winxp.exe ””
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” = “% System% \ userinit.exe,% Windir% \ winxp.exe”

4. Добавете следните записи към базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer ”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Скрито” = “4”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoClose” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoDesktop” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “Nofolderoptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Network ”NoNetSetup” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”NoDispCPL” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ WinOldApp ”Disable =“ 4 ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug "Auto" = "" 1 ″ "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableSR" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”DisableMSI” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(Стойност по подразбиране)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Стойност по подразбиране)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(Стойност по подразбиране)” = “Файлова папка” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(Стойност по подразбиране)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(Стойност по подразбиране)” = “”% System% \ web.exe ”“% 1 ″% * ”

5. Модифицирайте системния регистър, така че да се зарежда, когато стартирате Windows в безопасен режим, както следва:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Sa feBoot "AlternateShell" = "% System% \ web.exe"

6. Рестартирайте компютъра на всеки половин час.

7. Показва фалшиво поле за съобщения Norton AntiVirus.

8. Затворете прозорци, които съдържат конкретни думи в заглавната лента.