Il Trojan Wnetpols è molto aderente
I trojan Wnetpols possono essere abbastanza difficili da rimuovere dai computer infetti.
A Wnetpols trojan apporta molte modifiche ai sistemi selezionati. Dopo che i file dannosi sono stati creati, infetta i processi e continua a funzionare dietro di essi. Modificando il registro, il Trojan garantisce, tra le altre cose, che Windows Firewall non interferisce con le connessioni Internet che crea. Quindi apre un back gate attraverso il quale gli aggressori possono eseguire varie azioni dannose.
Una delle peggiori caratteristiche di Wnetpols è che è molto difficile da rimuovere dai computer infetti. Questo perché se un utente o un software antivirus tenta di eliminare i propri file, ne creeranno immediatamente di nuovi. E se il servizio per il tuo Trojan si interrompe, si riavvierà a breve.
Quando il Trojan Wnetpols si avvia, esegue le seguenti azioni:
- Crea i seguenti file:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [numeri casuali] .tmp
% Windir% \ Temp \ wnp [numeri casuali] .tmp - Infetta i seguenti processi:
winlogon.exe
explorer.exe
iexplore.exe - Crea le seguenti voci nel database di registrazione:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Esegui \
"Finestre
Servizio Gestione criteri di rete” = “%System%\wnpms.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Finestre
Servizio Gestione criteri di rete” = “%System%\wnpms.exe” - Modifica i seguenti valori nel registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
“C:\WINDOWS\system32\userinit.exe, wnpms.exe”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe” - Crea un servizio chiamato "Servizio Gestione criteri di rete Windows".
- Aggiungi la seguente chiave al database di registrazione:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Se uno dei tuoi file viene eliminato, lo recupererai immediatamente.
- Disabilita il firewall integrato di Windows modificando il registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Sistema% \ wnpms.exe ”
= "%System%\wnpms.exe:*:Abilitato:Servizio Gestione criteri di rete di Windows"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Windir% \ Explorer.EXE "
= "%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Abilitato:Servizio Gestione criteri di rete di Windows" - Crea due mutex per eseguire solo un'istanza alla volta sul sistema infetto.
- Monitora costantemente il proprio processo e, se si interrompe, si riavvia da solo.
- Apre un cancello sul retro e aspetta gli ordini degli aggressori.
