Il worm Badday infuria negli appunti

Badday.A worm si diffonde principalmente su unità rimovibili e di rete ed esegue una serie di azioni fastidiose sui computer infetti.

Badday.A worm crea molti file su computer selezionati e crea o modifica almeno quel numero di voci nel registro. Queste modifiche rendono inaccessibili il Task Manager di Windows e l'editor del registro, tra le altre cose.

In alcuni casi, il worm chiude le finestre e modifica costantemente il contenuto degli appunti, il che non può causare fastidio all'utente del PC infetto.

Quando il worm Badday.A si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% Windir% \ Media \ Avvio \ scvhost.exe
% System% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys

2. Copiare i seguenti file nell'unità CK:
% unità è% \ New_Folder.exe
% lettera unità% \ autorun.inf
% lettera di unità è% \ cool data.exe
% lettera unità% \ Nuova cartella (4) .exe
% unità è% \ dataku.exe
% lettera unità% \ data kuliah.exe
% lettera unità% \ Nuova cartella (5) .exe
% unità è% \ system.exe
% lettera di unità% \ funny doc.exe

3. Fai delle copie di te stesso come segue:
% directory corrente% \ jangan dihapus .exe
% directory corrente% \ my sweety .exe
% directory corrente% \ foto cewek .exe
% directory corrente% \ kekasishku .exe
% directory corrente% \ data penting .exe
% directory corrente% \ download .exe
% directory corrente% \ update antivirus .exe
% directory corrente% \ programma kumulan .exe
% directory corrente% \ movie bkp .exe
% directory corrente% \\\ itip .exe
% directory corrente% \ opzione cartella .exe

4. Aggiungere le seguenti voci al database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”NeverShow Ext” = “”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\App Paths\WindowsProfile.EXE”(predefinito)” = “%Windir%\Media\StartUp\scvhost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run"WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Printer Cpl” = “%Windir%\spool32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Curren tVersion\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer”DisableMSI” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"Titolo finestra" = ">> Buona giornata <<"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Cartelle"Avvio" = "%Windir%\Media\Avvio"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoRun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Microsoft Word" = "%System%\hostdll.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”

5. Modificare i seguenti valori nel database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”(predefinito)” = “Cartella file”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”TileInfo” = “prop:DocComments”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”InfoTip” = “prop:DocComments”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\\egfile\shell\open \command”(default)” = “cmd.exe /c del “%1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOrganization” = “il tuo sistema è mio”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOwner” = “il tuo sistema è mio”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"Nascosto" = "2"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced ”HideFileExt” = 1 ″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ClassicViewState” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDriveTypeAutoRun” = “5B”

6. Trova i file con le seguenti estensioni:
.doc
. Mpg
.3 pag
.wmv
. Raramente
. Jpg
txt

Ne fa una copia aggiungendo un'estensione .exe ai nomi dei file.

7. Chiudi le finestre che hanno una delle seguenti parole nella barra del titolo:
kill
dirottare
reg
processi

8. Continua a copiare il testo "Have a Bad Day" negli appunti.