De Wnetpols Trojan is erg aanhankelijk
Wnetpols-trojans kunnen vrij moeilijk te verwijderen zijn van geïnfecteerde computers.
A Wnetpols trojan brengt veel wijzigingen aan in geselecteerde systemen. Nadat de schadelijke bestanden zijn gemaakt, infecteert het processen en blijft het erachter werken. Door het register te wijzigen, zorgt het Trojaanse paard er onder andere voor dat Windows Firewall de internetverbindingen die het maakt niet verstoort. Het opent vervolgens een achterpoort waardoor aanvallers verschillende kwaadaardige acties kunnen uitvoeren.
Een van de slechtste eigenschappen van Wnetpols is dat het erg moeilijk te verwijderen is van geïnfecteerde computers. Dit komt omdat als een gebruiker of antivirussoftware hun bestanden probeert te verwijderen, ze onmiddellijk nieuwe zullen maken. En als de service voor uw Trojan stopt, zal deze zichzelf binnenkort opnieuw opstarten.
Wanneer de Wnetpols Trojan start, voert deze de volgende acties uit:
- Maak de volgende bestanden:
% Systeem% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [willekeurige getallen] .tmp
% Windir% \ Temp \ wnp [willekeurige getallen] .tmp - Het infecteert de volgende processen:
winlogon.exe
explorer.exe
iexplore.exe - Creëert de volgende vermeldingen in de registratiedatabase:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren \
"Ramen
Network Policy Manager Service ”=“% System% \ wnpms.exe ”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren \
"Ramen
Network Policy Manager Service ”=“% System% \ wnpms.exe ” - Wijzig de volgende waarden in het register:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Userinit" =
"C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd "StartupPrograms" = "rdpclip, wnpms.exe" - Maakt een service met de naam "Windows Network Policy Manager Service".
- Voeg de volgende sleutel toe aan de registratiedatabase:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Als een van uw bestanden wordt verwijderd, herstelt u deze onmiddellijk.
- Schakelt de ingebouwde firewall van Windows uit door het register te wijzigen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
ramers \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ Lijst ”%
Systeem% \ wnpms.exe ”
= "% System% \ wnpms.exe: *: Ingeschakeld: Windows Network Policy Manager-service"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
ramers \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ Lijst ”%
Windir% \ Explorer.EXE ”
= "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Ingeschakeld: Windows Network Policy Manager Service" - Maakt twee mutexen om slechts één instantie tegelijk op het geïnfecteerde systeem uit te voeren.
- Het houdt constant zijn eigen proces in de gaten en als het stopt, start het zichzelf opnieuw op.
- Hij opent een achterpoortje en wacht op de bevelen van de aanvallers.
