Les services Windows sont désactivés par le ver Annew.A

Le ver Annew.A apporte quelques modifications aux ordinateurs sélectionnés, puis essaie de désactiver certains services ou applications Windows.

Le ver Annew.A se propage principalement par le biais de supports amovibles. Le ver crée également un fichier sur ceux-ci qui démarre automatiquement lorsque le support est monté. Une fois que cela se produit, il crée un certain nombre de fichiers sur le lecteur système, puis modifie le registre. Entre autres choses, cela désactive la restauration du système Windows.

Le ver commence alors à effectuer des opérations « spectaculaires ». Par exemple, il affiche un faux message d'erreur, puis modifie le texte dans la barre de titre des fenêtres et arrête les processus appartenant aux applications.

Lorsque le ver Annew démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
% UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ Quick Launch.exe
% CommonProgramFiles% \ default.exe
% System% \ msnmsgr.exe
% Windir% \ msdos.pif
% SystemDrive% \ [nom de fichier] .exe

2. Copiez le fichier % SystemDrive% \ [nom de fichier] .exe avec des noms différents autant de fois que le ver démarre.

3. Créez un fichier autorun.inf sur des disques amovibles qui garantit que le ver démarre automatiquement lorsque vous connectez des supports aux ordinateurs.

4. Créez les entrées suivantes dans la base de données d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = "Explorer.exe %windir%\msdos.pif"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"MsnMsgr" = "%System%\msnmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"MsnMsgr" = "C:\WINDOWS\system32\msnmsgr.exe"

5. Modifiez les entrées suivantes dans la base de données d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System "DisableCMD" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr" = "1"

6. Modifiez les entrées suivantes dans la base de données d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableSR" = "1"

Cela désactive la fonction de restauration du système Windows.

7. Modifiez les entrées suivantes dans la base de données d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"Norun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoSetFolders" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"NoLogoff" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Caché" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Caché" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = "0"

8. Il affiche un message d'erreur avec le titre « Erreur d'application » et le message « 0xFFFFFFFF ».

9. Placez le texte suivant dans la barre de titre de chaque fenêtre :
[^ _ ^ Antivirus ^ _ ^]

10. Arrête les processus dont le nom contient les mots suivants :
cmd
mconfig
tâche
Proc
Hex
Espion.

En lisant: 1 476

a souligné

BlitzHome BH-CDW1, le lave-vaisselle de bureau intelligent et portable, est à nouveau en vente

a souligné

BLITZWILL BWL-FL-0001 - Lampadaire voyant avec une remise de 10 XNUMX

Somoreal SM-OLT9 - nous ajoutons des ailes à nos lumières

Les deux plafonniers BlitzWill sont en vente cette semaine

Microphone sans fil BlitzWolf BW-SX31 à prix Black Friday

a souligné

Est-ce une farce? Aspirateur robot à vidange automatique Xiaomi pour 93 XNUMX HUF ?

a souligné

XIAOMI AtuMan DUKA E2 - tournevis électrique économique

Ventes Xiaomi pour les maisons intelligentes

Xiaomi Redmi AX5400 - un autre nouveau routeur WiFi 6 de Xiaomi

Xiaomi Redmi AX6000 - nouveau routeur WiFi 6 de Xiaomi

Les services Windows sont désactivés par le ver Annew.A

A propos de l'auteur

Adhérents

AcheterBestGear

ranvée

G6.hu

a souligné

BlitzHome BH-CDW1, le lave-vaisselle de bureau intelligent et portable, est à nouveau en vente

a souligné

BLITZWILL BWL-FL-0001 - Lampadaire voyant avec une remise de 10 XNUMX

a souligné

Est-ce une farce? Aspirateur robot à vidange automatique Xiaomi pour 93 XNUMX HUF ?

a souligné

XIAOMI AtuMan DUKA E2 - tournevis électrique économique

Les services Windows sont désactivés par le ver Annew.A

A propos de l'auteur

Articles Similaires

AcheterBestGear

ranvée