Víruskeresőt utánoz a Phoney.A féreg
A Phoney.A féreg elsősorban hálózati megosztásokon keresztül terjed, és hamis antivírus üzenetek révén próbálja megtéveszteni a felhasználókat.
A Phoney.A féreg minden hálózaton megosztott könyvtárba bemásolja a saját fájljait, és arról is gondoskodik, hogy azok csatlakoztatásakor automatikusan elinduljon. A féreg számtalan módosítást végez a regisztrációs adatbázisban. Ezek réven jelentősen meggyengíti a számítógépek védelmét, és olyan eszközöket tesz elérhetetlenné, mint például a regisztrációs adatbázis szerkesztője vagy a Feladatkezelő.
A Phoney.A féreg egy hamis, ugyanakkor nagyon megtévesztő Norton AntiVirus ablakot jelenít meg, majd gondoskodik arról, hogy akkor is képes legyen betöltődni, ha a Windows esetleg csökkentett módban indul el. A kártevő további bosszantó és kellemetlen tulajdonsága, hogy félóránként újraindítja a fertőzött számítógépet.
Amikor a Phoney.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
%Windir%\Autorun.inf
%System%\web.exe
%Windir%\winxp.exe
%CurrentFolder%\[könyvtárnév].exe
2. Minden csatlakoztatott meghajtó gyökér könyvtárába létrehozza az alábbi állományokat:
AUTORUN.INF
microsoft.exe
3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Bron” = “%Windir%\winxp.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Rontok” = “Explorer.exe “%Windir%\winxp.exe””
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe, %Windir%\winxp.exe”
4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “4”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoClose” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoDesktop” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”Nofolderoptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Network”NoNetSetup” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”NoDispCPL” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\WinOldApp”Disable = “4”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug”Auto” = “”1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer”DisableMSI” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT\batfile\shell\open\command”(Default Value)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\comfile\shell\open\command”(Default Value)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\exefile”(Default Value)” = “File Folder” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\lnkfile\shell\open\command”(Default Value)” = “”%System%\web.exe” “%1″ %*”
HKEY_CLASSES_ROOT\piffile\shell\open\command”(Default Value)” = “”%System%\web.exe” “%1″ %*”
5. Az alábbiak szerint módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows csökkentett módban történő indításakor is betöltődjön
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sa feBoot”AlternateShell” = “%System%\web.exe”
6. Félóránként újraindítja a számítógépet.
7. Megjelenít egy hamis Norton AntiVirus üzenetablakot.
8. Bezárja azokat az ablakokat, amelyek meghatározott szavakat tartalmaznak a címsorukban.