Windowsszal trükköz a Hannuch féreg

A Hannuch.A féreg a Windows egyes beállításainak módosítását követően pendrive-okon próbál terjedni.

A Hannuch.A féreg egy copy.exe nevű állomány formájában terjed, elsősorban cserélhető meghajtókon keresztül. Amint rákerül egy számítógépre, akkor azon létrehoz egy fájlt a Windows egyik rendszerkönyvtárába, majd gondoskodik arról, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.

A Hannuch.A a regisztrációs adatbázisban több módosítást is végez. Egyrészt a Windows 2000 esetében lehetetlenné teszi az operációs rendszerből történő szabályos, felhasználói kijelentkezéseket. Emellett eltünteti a Sajátgépből a “Mappa beállításokat”, és ezáltal próbálja megnehezíteni eltávolítását. A féreg ugyanis a saját állományát rejtett attribútummal látja el, és ezzel az egyszerű trükkel próbál láthatatlan maradni.

Amikor a Hannuch.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Megnyitja a Windows Intézőjét, és létrehozza a következő fájlt:
   %System%\vhchosts.exe
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = “vhchosts.exe”
   HKCU\Software\chunhan\\\gay = “[az aktuális nap a hónapban]”
3. Cserélhető meghajtókon keresztül terjed. Ezekre rámásol egy copy.exe és egy autorun.inf nevű állományt.
4. A regisztrációs adatbázis módosításával letiltja a “kijelentkezés” opciót a Windowsban:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   NoLogoff = “00000001”
   Ez a változtatás csak a Windows 2000 operációs rendszer esetében hatásos.
5. Az alábbiak szerint módosítja a regisztrációs adatbázist:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   NoFolderOptions = “00000001”
6. A saját állományát rejtett attribútummal látja el.