El gusano Hannuch es un truco con Windows
El gusano Hannuch.A intenta propagarse en unidades flash después de cambiar ciertas configuraciones en Windows.
A Hannuch.A El gusano se propaga en forma de un archivo llamado copy.exe, principalmente a través de unidades extraíbles. Una vez en su computadora, crea un archivo en uno de los directorios del sistema de Windows y luego se asegura de que pueda iniciarse automáticamente cada vez que se carga el sistema operativo.
Hannuch.A realiza varios cambios en la base de datos de registro. Por un lado, hace imposible que Windows 2000 cierre la sesión de los usuarios habituales en el sistema operativo. También elimina la "Configuración de carpeta" de Mi PC, lo que dificulta su eliminación. Esto se debe a que el gusano proporciona su propio archivo con un atributo oculto e intenta permanecer invisible con este sencillo truco.
Cuando se inicia el troyano Hannuch.A, realiza las siguientes acciones:
- Abre el Explorador de Windows y crea el siguiente archivo:
% System% \ vhchosts.exe - Cree la siguiente entrada en la base de datos de registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ systray = “vhchosts.exe”
HKCU \ Software \ chunhan \\\ gay = "[día actual del mes]" - Se propaga a través de unidades extraíbles. Copia un archivo llamado copy.exe y un autorun.inf en ellos.
- La modificación del registro desactiva la opción "cerrar sesión" en Windows:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoLogoff = "00000001"
Este cambio es efectivo solo para Windows 2000. - Modifique la base de datos de registro de la siguiente manera:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
NoFolderOptions = "00000001" - Agrega un atributo oculto a su propio archivo.
