A Wnetpols trójait meglehetősen nehézkesen lehet csak eltávolítani a fertőzött számítógépekről.
A Wnetpols trójai sok változtatást eszközöl a kiszemelt rendszereken. A kártékony fájlok létrehozása után folyamatokat fertőz meg, és azok mögül végzi tovább a tevékenységét. A trójai a regisztrációs adatbázis módosításával többek között eléri azt is, hogy a Windows tűzfala ne akadályozza az általa létrehozott internetes kapcsolatokat. Ezt követően egy hátsó kaput nyit, amelyen keresztül a támadók különféle kártékony műveleteket hajthatnak végre.
A Wnetpols egyik legrosszabb tulajdonsága, hogy nagyon nehezen távolítható el a fertőzött számítógépekről. Ha ugyanis a felhasználó vagy egy víruskereső megkísérli letörölni a fájljait, akkor azonnal újabbakat hoz létre. Ha pedig a trójaihoz tartozó szolgáltatás állna le, akkor rövid időn belül újraindítja saját magát.
Amikor a Wnetpols trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\wnpms.exe
%Windir%\Temp\wnpms_[véletlenszerű számok].tmp
%Windir%\Temp\wnp[véletlenszerű számok].tmp - Megfertőzi az alábbi folyamatokat:
winlogon.exe
explorer.exe
iexplore.exe - A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
“Windows
Network Policy Manager Service” = “%System%\wnpms.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
“Windows
Network Policy Manager Service” = “%System%\wnpms.exe” - A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” =
“C:\WINDOWS\system32\userinit.exe, wnpms.exe”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\\\dpwd”StartupPrograms” = “rdpclip, wnpms.exe” - Létrehoz egy “Windows Network Policy Manager Service” nevű szolgáltatást.
- A regisztrációs adatbázishoz hozzáfűzi a következő kulcsot:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnpms - Amennyiben a fájljai közül valamelyik törlésre kerül, akkor azonnal helyreállítja azt.
- A regisztrációs adatbázis módosításával hatástalanítja a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
rameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
System%\wnpms.exe”
= “%System%\wnpms.exe:*:Enabled:Windows Network Policy Manager Service”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Pa
rameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List”%
Windir%\Explorer.EXE”
= “%Windows%\Explorer.EXE%Windows%\Explorer.EXE:*:Enabled:Windows Network Policy Manager Service” - Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
- Folyamatosan figyeli a saját folyamatát, és amennyiben az leáll, akkor újraindítja saját magát.
- Nyit egy hátsó kaput, és várakozik a támadók parancsaira.