Virus Messenger - Il firewall è danneggiato dal worm Yahlover
Il worm Yahlover.DH si diffonde attraverso le condivisioni di rete e cerca di disattivare il firewall dei computer.
A Yahlover.DH Il worm si diffonde principalmente attraverso unità di rete o condivisioni. Il worm apporta molte modifiche al registro. Ad esempio, crei o modifichi nuove voci ed elimini chiavi. Tra le altre cose, puoi impedire a Windows Explorer di visualizzare tutti i file che usi per nascondere nel tuo browser. Apporta anche modifiche per bypassare il firewall integrato di Windows.
Yahlover.DH scarica e installa malware aggiuntivo sui computer infetti tramite Internet.
Quando il worm Yahlover.DH si avvia, esegue le seguenti azioni:
- Crea i seguenti file:
% System% \ csrcs.exe
% System% \ autorun.inf - Le seguenti voci vengono aggiunte al database di registrazione:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer \ Run \
csrcs = “%System%\csrcs.exe”
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = "Explorer.exe csrcs.exe"
HKLM\SOFTWARE\Microsoft\DRM\amty\fix = ""
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [caratteri casuali]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [caratteri casuali]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [caratteri casuali]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [caratteri casuali]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [caratteri casuali] - Richiede l'indirizzo IP del computer infetto.
- Stai cercando di infettare altri computer in rete. Copia i file con un nome file casuale in questi.
- Scarica programmi dannosi su Internet.
- Disabilita il firewall integrato di Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
Profilo Standard \ Applicazioni Autorizzate \ Elenco \
[nome file worm] = [nome file worm]: *: Abilitato: Windows Life Messenger - Per disabilitare qualsiasi software di sicurezza NOD32 che potrebbe essere in esecuzione, modificare il registro:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Moduli \ AMON \ Impostazioni \
Config000\Impostazioni\media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Moduli \ AMON \ Impostazioni \
Config000 \ Impostazioni \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Moduli \ AMON \ Impostazioni \
Config000\Impostazioni\exc_num = dword: 0000000c - Le seguenti voci vengono eliminate dal database di registrazione:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Valutazioni
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ system - Modifica i seguenti valori nel registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanzate \
Nascosto = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanzate \
SuperNascosto = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanzate \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Cartella \ Nascosto \ SHOWALL \ CheckedValue = dword: 00000001
Questo nasconde i file in Esplora risorse che sono nascosti e hanno attributi di sistema.