Hình Thức : gây hại trên nền tảng Windows.
Mức Độ : Bình thường
Đe dọa: Có thể có rủi ro bảo mật
W32/Nopir-D lây lan thông qua chia sẻ tập tin trên các mạng ngang hàng
Sửa đổi Ứng dụng hệ thống :
Các tập tin sau đây được tạo ra trong hệ thống:
Khi lần đầu tiên chạy nó tự sao W32/Nopir-D chính nó :
<Program Files> \ Outlook Express.sav \ outlookrem.exe
<Program Files> \ System Prot \ mmsete.exe
và tạo ra file C: \ HANDLING (WIN 32 NOPIR) txt!!!..(Sử lý).
Sửa đổi Registry :
Các mục đăng ký sau đây được tạo ra để chạy outlookrem.exe và mmsete.exe ngày lúc khởi động:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Runsysmem
<Program Files> \ system Prot \ mmsete.exe
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunMemory
<Program Files> \ Outlook Express.sav \ outlookrem.exe
Khi chạy W32/Nopir-D kiểm tra sự hiện diện của các thư mục nhất định liên quan đến chia sẻ tập tin peer-to-peer( thiết lập ngang hàng), các chương trình, và nếu có bản thân W32/Nopir-D sẽ tự sao chép chính nó vào "CloneDVD 2.8.3.3 theo PGM.exe".
Các thư mục sau đây được kiểm tra:
C: \ Program Files \ eMule \ Incoming \
C: \ Program Files \ Kazaa \ My Shared Folder \
C: \ Program Files \ StreamCast \ Morpheus \ my shared folder \
C: \ Program Files \ Gnucleus \ Downloads \
Các mục đăng ký sau đây được thiết lập, để outlookrem.exe được chạy khi các tập tin có phần mở rộng là:
BAT, COM, EXE, PIF và SCR được mở ra
HKCR \ VBEFile \ Shell \ Open \ Command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ VBSFile \ Shell \ Open \ Command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ batfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ cmdfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ comfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ exefile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ inffile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ piffile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ regfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ scrfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
Các mục đăng ký sau đây được thiết lập, vô hiệu hoá trình sửa dổi registry của Windows, quản lý Task Manager (taskmgr) và hệ thống khôi phục lại:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
DisableTaskMgr 1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
DisableRegistryTools 1
HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore
DisableSR 1
W32/Nopir-D sẽ cố gắng để xóa các tập tin với phần mở rộng tập tin của AVI, MP3, RAR, MPG, và MPEG.
được thiết lập trong Registry như sau:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
NoControlPanel 1
HKCR \ inffile \ shell \ install \ command
(Default)
Cách Diệt:
Tự động : Dùng phần mềm CMC, hoặc một số phần mềm diệt virus khác
Diệt bằng tay:
Xóa tất cả các file được download về từ mạng hoặc từ các thiết bị lưu chữ.
Xóa các mục được đăng ký trong Rigistry và các file được copy.