L'antivirus viene imitato dal worm Phoney.A

Il worm Phoney.A si diffonde principalmente attraverso le condivisioni di rete e tenta di ingannare gli utenti tramite falsi messaggi antivirus.

Il worm Phoney.A copia i propri file in una directory condivisa su ciascuna rete e garantisce inoltre che si avvii automaticamente quando vengono montati. Il worm apporta numerose modifiche al registro. Indeboliscono notevolmente la protezione dei computer e rendono inaccessibili strumenti come l'editor del registro o il Task Manager.

Il worm Phoney.A visualizza una finestra di Norton AntiVirus falsa ma molto ingannevole e quindi garantisce che possa caricarsi anche se Windows si avvia in modalità provvisoria. Un'altra caratteristica fastidiosa e scomoda del malware è che riavvia il computer infetto ogni mezz'ora.

Quando il worm Phoney.A si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
C:\Documenti e impostazioni\Tutti gli utenti\Menu Start\Programmi\Avvio\Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [nome directory] .exe

2. Creare i seguenti file nella directory principale di ogni unità montata:
AUTORUN.INF
Microsoft.exe

3. Aggiungere le seguenti voci al database di registrazione:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Bron” = “%Windir%\winxp.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Rontok” = “Explorer.exe “%Windir%\winxp.exe””
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = "%System%\userinit.exe, %Windir%\winxp.exe"

4. Aggiungere le seguenti voci al database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"Nascosto" = "4"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoClose” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDesktop” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”Nofolderoptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network"NoNetSetup" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”NoDispCPL” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”Disable = “4”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug”Auto” = “”1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer”DisableMSI” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT\batfile\shell\open\command”(Valore predefinito)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\comfile\shell\open\command”(Valore predefinito)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\exefile”(Valore predefinito)” = “Cartella file” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\lnkfile\shell\open\command”(valore predefinito)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\piffile\shell\open\command”(Valore predefinito)” = “”%System%\web.exe” “%1″ %*”

5. Modificare il registro in modo che venga caricato all'avvio di Windows in modalità provvisoria, come segue:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sa feBoot”AlternateShell” = “%System%\web.exe”

6. Riavviare il computer ogni mezz'ora.

7. Visualizza una finestra di messaggio falsa di Norton AntiVirus.

8. Chiudere le finestre che contengono parole specifiche nella barra del titolo.