Megbénítja a Windowst a Reztrict féreg
A meglehetősen gyors terjedésre képes Reztrict nevű féreg rengeteg módosítást végez a Windowsban, majd számos rendszerfunkciót tesz elérhetetlenné, és ezzel komoly bosszúságot képes okozni.
A Reztrict elsősorban elektronikus levelek révén terjed. A féreg a szükséges e-mail címeket a fertőzött számítógépeken található különböző címjegyzékekből gyűjti össze. A kártékony program számos olyan módosítást végez a PC-ken, amelyek sok bosszúságot okozhatnak. Így például olyan funkciókat tesz elérhetetlenné, mint például a keresés, a futtatás, a számítógép kikapcsolása, a kijelentkezés, stb. Ezek mellett elrejti a Vezérlőpultot, valamint megváltoztatja az Internet Explorer kezdőoldalát.
A Reztrict féreg Interneten keresztül is képes fájlok letöltésére, amelyeket telepít a fertőzött számítógépekre.
Amikor a Reztrict féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Amennyiben már előzőleg rákerült a számítógépre, akkor megjeleníti a következő szöveget tartalmazó üzenetet:
No abras el virus 2 veces pelotud@!!
2. Létrehozza az alábbi állományt:
%UserProfile%\Local Settings\Temp\VIRUS v2.0.vbs
3. Internetről letölt egy fájlt, amelyet elment a Windows “addins” könyvtárába svchost.exe néven.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”svchost” = “%Windir%\addins\svchost.exe”
5. Módosítja a regisztrációs adatbázis alábbi kulcsait:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoFind” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoRun” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoClose” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”StartMenuLogOff” = “1”
Ezzel elérhetetlenné teszi a Windows keresés, futtatás, leállítás és kijelentkezés parancsait.
6. Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”” = “(valor no establecido)”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoDesktop” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”HideClock” = “1”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer”NoControlPanel” = “1”
HKEY_CURRENT_USER\Software\Policies\Microsoft”Homepag e” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Start Page” = “[http://]prostitutas.com”
Ezzel elrejti az asztalon lévő ikonokat, az órát, a vezérlőpultot, valamint módosítja az Internet Explorer kezdőoldalát.
7. A Windows Messengerből összegyűjti a címeket, és azokat elmenti egy %Windir%\mis contactos.txt fájlba.
8. A regisztrációs adatbázis átvizsgálásával email címeket keres, majd azokat elmenti a %Windir%\mis contactos.txt állományba.
9. Az összegyűjtött e-mail címekre leveleket kezd el küldözgetni. Ezek tárgya lehet:
COmo andan??? tanto tiempo che!!
COmo andan??? tanto tiempo che!!
MSN TQM!!! como estas?
10. Leállítja az explorer.exe folyamatot.