Virus Messenger - Le pare-feu est endommagé par le ver Yahlover
Le ver Yahlover.DH se propage via les partages réseau et cherche à désactiver le pare-feu sur les ordinateurs.
A Yahlover.DH Le ver se propage principalement via les lecteurs réseau ou les partages. Le ver apporte de nombreuses modifications au registre. Par exemple, vous créez ou modifiez de nouvelles entrées et supprimez des clés. Cela permet, entre autres, d'empêcher l'utilisateur d'afficher dans l'explorateur Windows tous les fichiers qu'il utilise pour masquer. Il apporte également des modifications pour contourner le pare-feu intégré de Windows.
Yahlover.DH télécharge et installe des logiciels malveillants supplémentaires sur les ordinateurs infectés via Internet.
Lorsque le ver Yahlover.DH démarre, il effectue les actions suivantes :
- Créez les fichiers suivants :
% System% \ csrcs.exe
% System% \ autorun.inf - Les entrées suivantes sont ajoutées à la base de données d'enregistrement :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policy\Explorer\Exécuter\
csrcs = « %Système%\csrcs.exe »
HKLM \ LOGICIEL \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = « Explorer.exe csrcs.exe »
HKLM\SOFTWARE\Microsoft\DRM\amty\fix = ""
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [caractères aléatoires]
HKLM\SOFTWARE\Microsoft\DRM\amty\dreg = [caractères aléatoires]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [caractères aléatoires]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [caractères aléatoires]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [caractères aléatoires] - Il interroge l'adresse IP de l'ordinateur infecté.
- Vous essayez d'infecter des ordinateurs supplémentaires sur un réseau. Copie les fichiers avec un nom de fichier aléatoire vers ceux-ci.
- Il télécharge des programmes malveillants sur Internet.
- Désactive le pare-feu intégré de Windows :
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
Profil Standard \ Applications Autorisées \ Liste \
[nom de fichier du ver] = [nom de fichier du ver] : * : activé : Windows Life Messenger - Pour désactiver tout logiciel de sécurité NOD32 en cours d'exécution, modifiez le registre :
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Paramètres \ media_network = dword : 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Paramètres \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc_num = dword : 0000000c - Les entrées suivantes sont supprimées de la base de données d'enregistrement :
HKCU \ Logiciel \ Microsoft \ Windows \ CurrentVersion \ Politiques
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Ratings
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ system - Modifiez les valeurs suivantes dans le registre :
HKCU \ Logiciel \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Caché = dword : 00000002
HKCU \ Logiciel \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Super-caché = dword : 00000000
HKCU \ Logiciel \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = dword : 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Dossier \ Caché \ SHOWALL \ CheckedValue = dword : 00000001
Cela masque les fichiers dans l'Explorateur Windows qui sont masqués et ont des attributs système.
