Le ver Hannuch est une astuce avec Windows
Le ver Hannuch.A essaie de se propager sur les lecteurs flash après avoir modifié certains paramètres dans Windows.
A Hannuch.A Le ver se propage sous la forme d'un fichier appelé copy.exe, principalement via des lecteurs amovibles. Une fois sur votre ordinateur, il crée un fichier dessus dans l'un des répertoires système de Windows, puis s'assure qu'il peut démarrer automatiquement à chaque chargement du système d'exploitation.
Hannuch.A apporte plusieurs modifications à la base de données d'inscription. D'une part, dans le cas de Windows 2000, cela rend impossible les déconnexions régulières des utilisateurs du système d'exploitation. Il supprime également les « Paramètres des dossiers » du Poste de travail et tente ainsi de rendre sa suppression plus difficile. Le ver fournit à son propre stock un attribut caché et essaie de rester invisible grâce à cette astuce simple.
Lorsque le cheval de Troie Hannuch.A démarre, il effectue les actions suivantes :
- Ouvre l'explorateur Windows et crée le fichier suivant :
% System% \ vhchosts.exe - Créez l'entrée suivante dans la base de données d'enregistrement :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = "vhhosts.exe"
HKCU\Software\chunhan\\\gay = "[le jour actuel du mois]" - Il se propage à travers des lecteurs amovibles. Il copie un fichier appelé copy.exe et un autorun.inf sur eux.
- Désactivez l'option « déconnexion » dans Windows en modifiant le registre :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
Pas de déconnexion = « 00000001 »
Cette modification s'applique uniquement à Windows 2000. - Modifiez la base de données d'inscription comme suit :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoFolderOptions = « 00000001 » - Ajoute un attribut caché à votre propre fichier.
