Nagyon ragaszkodó a Wnetpols trójai

A Wnetpols trójait meglehetősen nehézkesen lehet csak eltávolítani a fertőzött számítógépekről.

A Wnetpols trójai sok változtatást eszközöl a kiszemelt rendszereken. A kártékony fájlok létrehozása után folyamatokat fertőz meg, és azok mögül végzi tovább a tevékenységét. A trójai a regisztrációs adatbázis módosításával többek között eléri azt is, hogy a Windows tűzfala ne akadályozza az általa létrehozott internetes kapcsolatokat. Ezt követően egy hátsó kaput nyit, amelyen keresztül a támadók különféle kártékony műveleteket hajthatnak végre.

A Wnetpols egyik legrosszabb tulajdonsága, hogy nagyon nehezen távolítható el a fertőzött számítógépekről. Ha ugyanis a felhasználó vagy egy víruskereső megkísérli letörölni a fájljait, akkor azonnal újabbakat hoz létre. Ha pedig a trójaihoz tartozó szolgáltatás állna le, akkor rövid időn belül újraindítja saját magát.

Amikor a Wnetpols trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\wnpms.exe
   %Windir%\Temp\wnpms_[véletlenszerű számok].tmp
   %Windir%\Temp\wnp[véletlenszerű számok].tmp
2. Megfertőzi az alábbi folyamatokat:
   winlogon.exe
   explorer.exe
   iexplore.exe
3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
   “Windows
   Network Policy Manager Service” = “%System%\wnpms.exe”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
   “Windows
   Network Policy Manager Service” = “%System%\wnpms.exe”
4. A regisztrációs adatbázisban módosítja a következő értékeket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” =
   “C:\WINDOWS\system32\userinit.exe, wnpms.exe”
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe”
5. Létrehoz egy “Windows Network Policy Manager Service” nevű szolgáltatást.
6. A regisztrációs adatbázishoz hozzáfűzi a következő kulcsot:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnpms
7. Amennyiben a fájljai közül valamelyik törlésre kerül, akkor azonnal helyreállítja azt.
8. A regisztrációs adatbázis módosításával hatástalanítja a Windows beépített tűzfalát:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
   rameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
   System%\wnpms.exe”
   = “%System%\wnpms.exe:*:Enabled:Windows Network Policy Manager Service”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
   rameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
   Windir%\Explorer.EXE”
   = “%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Enabled:Windows Network Policy Manager Service”
9. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
10. Folyamatosan figyeli a saját folyamatát, és amennyiben az leáll, akkor újraindítja saját magát.
11. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.