A Hannuch.A féreg a Windows egyes beállításainak módosítását követően pendrive-okon próbál terjedni.

Hannuch.A féreg egy copy.exe nevű állomány formájában terjed, elsősorban cserélhető meghajtókon keresztül. Amint rákerül egy számítógépre, akkor azon létrehoz egy fájlt a Windows egyik rendszerkönyvtárába, majd gondoskodik arról, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.

A Hannuch.A a regisztrációs adatbázisban több módosítást is végez. Egyrészt a Windows 2000 esetében lehetetlenné teszi az operációs rendszerből történő szabályos, felhasználói kijelentkezéseket. Emellett eltünteti a Sajátgépből a “Mappa beállításokat”, és ezáltal próbálja megnehezíteni eltávolítását. A féreg ugyanis a saját állományát rejtett attribútummal látja el, és ezzel az egyszerű trükkel próbál láthatatlan maradni.

Windowsszal trükköz a Hannuch féreg

Amikor a Hannuch.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Megnyitja a Windows Intézőjét, és létrehozza a következő fájlt:
    %System%\vhchosts.exe
  2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = “vhchosts.exe”
    HKCU\Software\chunhan\\\gay = “[az aktuális nap a hónapban]”
  3. Cserélhető meghajtókon keresztül terjed. Ezekre rámásol egy copy.exe és egy autorun.inf nevű állományt.
  4. A regisztrációs adatbázis módosításával letiltja a “kijelentkezés” opciót a Windowsban:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
    NoLogoff = “00000001”
    Ez a változtatás csak a Windows 2000 operációs rendszer esetében hatásos.
  5. Az alábbiak szerint módosítja a regisztrációs adatbázist:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
    NoFolderOptions = “00000001”
  6. A saját állományát rejtett attribútummal látja el.