El troyano Wnetpols es muy adherente
Los troyanos Wnetpols pueden ser bastante difíciles de eliminar de los equipos infectados.
A Wnetpols troyano realiza muchos cambios en los sistemas seleccionados. Una vez que se crean los archivos maliciosos, infecta los procesos y continúa operando detrás de ellos. Entre otras cosas, al modificar el registro, el troyano se asegura de que el Firewall de Windows no interfiera con las conexiones a Internet que crea. Luego abre una puerta trasera a través de la cual los atacantes pueden realizar varias acciones maliciosas.
Una de las peores características de Wnetpols es que es muy difícil de eliminar de las computadoras infectadas. Esto se debe a que si un usuario o un software antivirus intenta eliminar sus archivos, creará otros nuevos inmediatamente. Y si el servicio asociado con su troyano se detiene, se reiniciará en breve.
Cuando se inicia el troyano Wnetpols, realiza las siguientes acciones:
- Cree los siguientes archivos:
% System% \ wnpms.exe
% Windir% \ Temp \ wnpms_ [números aleatorios] .tmp
% Windir% \ Temp \ wnp [números aleatorios] .tmp - Infecta los siguientes procesos:
winlogon.exe
explorer.exe
iexplore.exe - Crea las siguientes entradas en la base de datos de registro:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Windows
Servicio de Network Policy Manager ”=“% System% \ wnpms.exe ”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Windows
Servicio de Network Policy Manager ”=“% System% \ wnpms.exe ” - Modifique los siguientes valores en el registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” =
"C: \ WINDOWS \ system32 \ userinit.exe, wnpms.exe"
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \\\ dpwd ”StartupPrograms” = “rdpclip, wnpms.exe” - Crea un servicio llamado "Servicio de administrador de políticas de red de Windows".
- Agregue la siguiente clave a la base de datos de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wnpms - Si se elimina alguno de sus archivos, lo recuperará de inmediato.
- Deshabilita el firewall integrado de Windows modificando el registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
System% \ wnpms.exe ”
= "% System% \ wnpms.exe: *: Habilitado: Servicio Administrador de políticas de red de Windows"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Pa
rameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List ”%
Windir% \ Explorer.EXE ”
= "% Windows% \ Explorer.EXE% Windows% \ Explorer.EXE: *: Habilitado: Servicio Administrador de políticas de red de Windows" - Crea dos exclusiones mutuas para ejecutar solo una instancia a la vez en el sistema infectado.
- Supervisa constantemente su propio proceso y, si se detiene, se reinicia.
- Abre una puerta trasera y espera las órdenes de los atacantes.
