I servizi di Windows sono disabilitati dal worm Annew.A
Il worm Annew.A apporta alcune modifiche ai computer selezionati e quindi tenta di disabilitare determinati servizi o applicazioni di Windows.
Il worm Annew.A si diffonde principalmente attraverso supporti rimovibili. Il worm crea anche un file su questi che si avvia automaticamente quando il supporto viene montato. Una volta che ciò accade, crea un numero di file sull'unità di sistema e quindi modifica il registro. Tra le altre cose, questo disattiva il Ripristino configurazione di sistema di Windows.
Il worm inizia quindi a eseguire operazioni "spettacolari". Ad esempio, visualizza un falso messaggio di errore, quindi modifica il testo nella barra del titolo di Windows e interrompe i processi appartenenti alle applicazioni.
Quando il worm Annow si avvia, esegue le seguenti azioni:
1. Creare i seguenti file:
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [nome file] .exe
2. Copiare il file% SystemDrive% \ [filename] .exe con un nome diverso tutte le volte che si avvia il worm.
3. Creare un file autorun.inf su dischi rimovibili che garantisca l'avvio automatico del worm quando si collegano i supporti ai computer.
4. Creare le seguenti voci nel database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = "Explorer.exe %windir%\msdos.pif"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"MsnMsgr" = "%System%\msnmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”
5. Modificare le seguenti voci nel database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”DisableTaskMgr” = “1”
6. Modificare le seguenti voci nel database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”
Questo disattiva la funzionalità Ripristino configurazione di sistema di Windows.
7. Modificare le seguenti voci nel database di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"Norun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"Nascosto" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"Nascosto" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
8. Viene visualizzato un messaggio di errore con il titolo "Errore dell'applicazione" e il messaggio "0xFFFFFFFF".
9. Inserisci il seguente testo nella barra del titolo di ogni finestra:
[^ _ ^ Antivirus ^ _ ^]
10. Arresta i processi il cui nome contiene le seguenti parole:
cmd
mconfig
compito
proc
Hex
Spiare.
