Le cheval de Troie Wnetpols est très adhérent

Les chevaux de Troie Wnetpols peuvent être assez difficiles à supprimer des ordinateurs infectés.

A Wnetpols cheval de Troie apporte de nombreuses modifications aux systèmes sélectionnés. Une fois les fichiers malveillants créés, il infecte les processus et continue de fonctionner derrière eux. Entre autres, en modifiant le registre, le cheval de Troie s'assure que le pare-feu Windows n'interfère pas avec les connexions Internet qu'il crée. Il ouvre ensuite une porte arrière à travers laquelle les attaquants peuvent effectuer diverses actions malveillantes.

L'une des pires caractéristiques de Wnetpols est qu'il est très difficile à supprimer des ordinateurs infectés. En effet, si un utilisateur ou un logiciel antivirus essaie de supprimer ses fichiers, il en créera immédiatement de nouveaux. Et si le service de votre cheval de Troie s'arrête, il redémarrera sous peu.

Lorsque le cheval de Troie Wnetpols démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
   % System% \ wnpms.exe
   % Windir% \ Temp \ wnpms_ [nombres aléatoires] .tmp
   % Windir% \ Temp \ wnp [nombres aléatoires] .tmp
2. Il infecte les processus suivants :
   winlogon.exe
   explorer.exe
   iexplore.exe
3. Crée les entrées suivantes dans la base de données d'enregistrement :
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Les fenêtres
   Service de gestion des stratégies réseau » = « %System%\wnpms.exe »
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Les fenêtres
   Service de gestion des stratégies réseau » = « %System%\wnpms.exe »
4. Modifiez les valeurs suivantes dans le registre :
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon « Userinit » =
   "C:\WINDOWS\system32\userinit.exe, wnpms.exe"
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd"StartupPrograms" = "rdpclip, wnpms.exe"
5. Crée un service appelé « Service Windows Network Policy Manager ».
6. Ajoutez la clé suivante à la base de données d'enregistrement :
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms
7. Si l'un de vos fichiers est supprimé, vous le récupérerez immédiatement.
8. Désactive le pare-feu intégré de Windows en modifiant le registre :
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   System% \ wnpms.exe "
   = "%System%\wnpms.exe:*:Enabled:Service Windows Network Policy Manager"
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
   rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
   Windir% \ Explorer.EXE "
   = "%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Enabled:Service de gestion des stratégies réseau Windows"
9. Crée deux mutex pour exécuter une seule instance à la fois sur le système infecté.
10. Il surveille en permanence son propre processus, et s'il s'arrête, il se redémarre.
11. Il ouvre une porte arrière et attend les ordres des assaillants.