Услугите на Windows са деактивирани от червея Annew.A

Червеят Annew.A прави доста промени в избрани компютри и след това се опитва да деактивира определени услуги или приложения на Windows.

Червеят Annew.A се разпространява предимно чрез сменяеми носители. Червеят също създава файл върху тях, който се стартира автоматично, когато носителят е монтиран. След като това се случи, той създава редица файлове на системното устройство и след това променя системния регистър. Това изключва, наред с други неща, възстановяването на системата на Windows.

След това червеят започва да извършва „зрелищни“ операции. Например, той показва фалшиво съобщение за грешка, променя текста в заглавната лента на прозорците и спира процесите за приложения.

Когато червеят Annew стартира, той изпълнява следните действия:

1. Създайте следните файлове:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [име на файл] .exe

2. Копирайте файла% SystemDrive% \ [filename] .exe с различни имена толкова пъти, колкото стартира червеят.

3. Създава файл autorun.inf на сменяеми дискове, който гарантира, че червеят се стартира автоматично, когато свързвате носител към компютри.

4. Създайте следните записи в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = “Explorer.exe% windir% \ msdos.pif”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run ”MsnMsgr” = “% System% \ msnmsgr.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run "MsnMsgr" = "C: \ WINDOWS \ system32 \ msnmsgr.exe"

5. Променете следните записи в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System "DisableCMD" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”

6. Променете следните записи в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore "DisableSR" = "1"

Това изключва функцията за възстановяване на системата на Windows.

7. Променете следните записи в базата данни за регистрация:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “Norun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFind” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoSetFolders” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoLogoff” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Скрито” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Скрито” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"

8. Показва съобщение за грешка със заглавие „Грешка в приложението“ и съобщението „0xFFFFFFFF“.

9. Поставете следния текст в заглавната лента на всеки прозорец:
[^ _ ^ Антивирусна програма ^ _ ^]

10. Спира процеси, които имат следните думи в имената си:
Cmd
mconfig
задача
Proc
магия
Шпионин.