Le ver de badday fait rage dans le presse-papiers

Le ver Badday.A se propage principalement sur les lecteurs amovibles ainsi que sur les lecteurs réseau et effectue un certain nombre d'actions ennuyeuses sur les ordinateurs infectés.

Le ver Badday.A crée un grand nombre de fichiers sur des ordinateurs sélectionnés et crée ou modifie au moins autant d'entrées dans le registre. Ces modifications rendent le Gestionnaire des tâches de Windows et l'Éditeur du Registre inaccessibles, entre autres.

Dans certains cas, le ver ferme les fenêtres et modifie constamment le contenu du presse-papiers, ce qui ne peut gêner l'utilisateur du PC infecté.

Lorsque le ver Badday.A démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
% Windir% \ Média \ Démarrage \ scvhost.exe
% System% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys

2. Copiez les fichiers suivants sur le lecteur CK :
% lecteur est% \ New_Folder.exe
% lettre de lecteur% \ autorun.inf
% lettre de lecteur est% \ cool data.exe
% lettre de lecteur% \ Nouveau dossier (4) .exe
% lecteur est% \ dataku.exe
% lettre de lecteur% \ data kuliah.exe
% lettre de lecteur% \ Nouveau dossier (5) .exe
% lecteur est% \ system.exe
% lettre de lecteur% \ doc.exe drôle

3. Faites des copies de vous-même comme suit :
% répertoire courant% \ jangan dihapus .exe
% répertoire courant% \ my sweety .exe
% répertoire courant% \ foto cewek .exe
% répertoire actuel% \ kekasishku .exe
% répertoire courant% \ data penting .exe
% répertoire courant% \ download .exe
% répertoire courant% \ update antivir .exe
% répertoire courant% \ programme kumulan .exe
% répertoire courant% \ movie bkp .exe
% répertoire courant% \\\ itip .exe
% répertoire actuel% \ option de dossier .exe

4. Ajoutez les entrées suivantes à la base de données d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile"NeverShow Ext" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\App Paths\WindowsProfile.EXE”(par défaut)” = “%Windir%\Media\StartUp\scvhost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run"WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run"Printer Cpl" = "%Windir%\spool32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Curren tVersion\SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer"DisableMSI" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"Titre de la fenêtre" = ">> Passez une mauvaise journée <<"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\User Shell Folders "Démarrage" = "%Windir%\Media\StartUp"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Microsoft Word" = "%System%\hostdll.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system "DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system "DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr" = "1"

5. Modifiez les valeurs suivantes dans la base de données d'inscription :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”(par défaut) ” = “Dossier de fichiers”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile"TileInfo" = "prop:DocComments"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile"InfoTip" = "prop:DocComments"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\\egfile\shell\open \command”(par défaut)” = “cmd.exe /c del “%1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOrganization” = “votre système est à moi”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion"RegisteredOwner" = "votre système est à moi"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Caché" = "2"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = 1 ″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced"ClassicViewState" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer"NoDriveTypeAutoRun" = "5B"

6. Recherchez les fichiers avec les extensions suivantes :
.doc
. Mpg
.3pg
.wmv
.rar
. Jpg
.SMS

Vous en faites une copie en ajoutant une extension .exe aux noms de fichiers.

7. Fermez les fenêtres qui ont l'un des mots suivants dans la barre de titre :
tuer
détourner
reg
processus

8. Continuez à copier le texte « Have a Bad Day » dans le presse-papiers.