A Wnetpols trójait meglehetősen nehézkesen lehet csak eltávolítani a fertőzött számítógépekről.

A Wnetpols trójai sok változtatást eszközöl a kiszemelt rendszereken. A kártékony fájlok létrehozása után folyamatokat fertőz meg, és azok mögül végzi tovább a tevékenységét. A trójai a regisztrációs adatbázis módosításával többek között eléri azt is, hogy a Windows tűzfala ne akadályozza az általa létrehozott internetes kapcsolatokat. Ezt követően egy hátsó kaput nyit, amelyen keresztül a támadók különféle kártékony műveleteket hajthatnak végre.

A Wnetpols egyik legrosszabb tulajdonsága, hogy nagyon nehezen távolítható el a fertőzött számítógépekről. Ha ugyanis a felhasználó vagy egy víruskereső megkísérli letörölni a fájljait, akkor azonnal újabbakat hoz létre. Ha pedig a trójaihoz tartozó szolgáltatás állna le, akkor rövid időn belül újraindítja saját magát.

Nagyon ragaszkodó a Wnetpols trójai

Amikor a Wnetpols trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\wnpms.exe
    %Windir%\Temp\wnpms_[véletlenszerű számok].tmp
    %Windir%\Temp\wnp[véletlenszerű számok].tmp
  2. Megfertőzi az alábbi folyamatokat:
    winlogon.exe
    explorer.exe
    iexplore.exe
  3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    “Windows
    Network Policy Manager Service” = “%System%\wnpms.exe”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    “Windows
    Network Policy Manager Service” = “%System%\wnpms.exe”
  4. A regisztrációs adatbázisban módosítja a következő értékeket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” =
    “C:\WINDOWS\system32\userinit.exe, wnpms.exe”
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe”
  5. Létrehoz egy “Windows Network Policy Manager Service” nevű szolgáltatást.
  6. A regisztrációs adatbázishoz hozzáfűzi a következő kulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnpms
  7. Amennyiben a fájljai közül valamelyik törlésre kerül, akkor azonnal helyreállítja azt.
  8. A regisztrációs adatbázis módosításával hatástalanítja a Windows beépített tűzfalát:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
    rameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
    System%\wnpms.exe”
    = “%System%\wnpms.exe:*:Enabled:Windows Network Policy Manager Service”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
    rameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
    Windir%\Explorer.EXE”
    = “%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Enabled:Windows Network Policy Manager Service”
  9. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
  10. Folyamatosan figyeli a saját folyamatát, és amennyiben az leáll, akkor újraindítja saját magát.
  11. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.