Le ver Phoney.A imite un scanner de virus

Le ver Phoney.A se propage principalement via les partages réseau et tente de tromper les utilisateurs via de faux messages antivirus.

Le ver Phoney.A copie ses propres fichiers dans un répertoire partagé sur chaque réseau et s'assure également qu'il démarre automatiquement lorsqu'ils sont montés. Le ver apporte de nombreuses modifications au registre. Ils affaiblissent considérablement la protection des ordinateurs et rendent inaccessibles des outils tels que l'Éditeur du Registre ou le Gestionnaire des tâches.

Le ver Phoney.A affiche une fenêtre Norton AntiVirus fausse mais très trompeuse, puis s'assure qu'il peut se charger même si Windows démarre en mode sans échec. Une autre caractéristique gênante et peu pratique du malware est qu'il redémarre l'ordinateur infecté toutes les demi-heures.

Lorsque le ver Phoney.A démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [nom du répertoire] .exe

2. Créez les fichiers suivants dans le répertoire racine de chaque lecteur monté :
AUTORUN.INF
Microsoft.exe

3. Ajoutez les entrées suivantes à la base de données d'enregistrement :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run"Bron" = "%Windir%\winxp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Rontok" = "Explorer.exe "%Windir%\winxp.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = "%System%\userinit.exe, %Windir%\winxp.exe"

4. Ajoutez les entrées suivantes à la base de données d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\Explorer"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Caché" = "4"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoClose" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoDesktop" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"Nofolderoptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network"NoNetSetup" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"NoDispCPL" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp "Désactiver = "4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug"Auto" = ""1″"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableSR" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer"LimitSystemRestoreCheckpointing" = "1"
HKEY_CLASSES_ROOT\batfile\shell\open\command”(Valeur par défaut)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\comfile\shell\open\command”(Valeur par défaut)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\exefile"(Valeur par défaut)" = "Dossier de fichiers" = ""%System%\web.exe" "%1″ %*"
HKEY_CLASSES_ROOT\lnkfile\shell\open\command”(Valeur par défaut)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\piffile\shell\open\command”(Valeur par défaut)” = “”%System%\web.exe” “%1″ %*”

5. Modifiez le registre pour qu'il se charge lorsque vous démarrez Windows en mode sans échec, comme suit :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sa feBoot"AlternateShell" = "%System%\web.exe"

6. Redémarrez l'ordinateur toutes les demi-heures.

7. Affiche une fausse boîte de message Norton AntiVirus.

8. Fermez les fenêtres qui contiennent des mots spécifiques dans leur barre de titre.

En lisant: 2 027

a souligné

BlitzHome BH-CDW1, le lave-vaisselle de bureau intelligent et portable, est à nouveau en vente

a souligné

BLITZWILL BWL-FL-0001 - Lampadaire voyant avec une remise de 10 XNUMX

Somoreal SM-OLT9 - nous ajoutons des ailes à nos lumières

Les deux plafonniers BlitzWill sont en vente cette semaine

Microphone sans fil BlitzWolf BW-SX31 à prix Black Friday

a souligné

Est-ce une farce? Aspirateur robot à vidange automatique Xiaomi pour 93 XNUMX HUF ?

a souligné

XIAOMI AtuMan DUKA E2 - tournevis électrique économique

Ventes Xiaomi pour les maisons intelligentes

Xiaomi Redmi AX5400 - un autre nouveau routeur WiFi 6 de Xiaomi

Xiaomi Redmi AX6000 - nouveau routeur WiFi 6 de Xiaomi

L'antivirus est imité par le ver Phoney.A

A propos de l'auteur

Adhérents

AcheterBestGear

ranvée

G6.hu

a souligné

BlitzHome BH-CDW1, le lave-vaisselle de bureau intelligent et portable, est à nouveau en vente

a souligné

BLITZWILL BWL-FL-0001 - Lampadaire voyant avec une remise de 10 XNUMX

a souligné

Est-ce une farce? Aspirateur robot à vidange automatique Xiaomi pour 93 XNUMX HUF ?

a souligné

XIAOMI AtuMan DUKA E2 - tournevis électrique économique

L'antivirus est imité par le ver Phoney.A

A propos de l'auteur

Articles Similaires

AcheterBestGear

ranvée