Windows errors related to services.exe?
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of services during shut-down. This program is important for the stable and secure running of your computer and should not be terminated.
Note: services.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
Determining whether services.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from. We strongly recommend that you run a FREE registry scan to identify services.exe related errors.
Кратко описание
Anker е пощенски червей, който се разпространява в ZIP архива. Архивата е свалена от уебсайта Geocities (от един от потребителските акаунти) непосредствено преди да започне да се разпространява.
Подробно описание
Червеят е написан на Visual Basic. Неговият файл е PE, архивиран с UPX и е с големина 13824 байта. Дезархивираният файл е с размер над 61 килобайта.
Инсталиране в системата
Когато бъде стартиран файла на червея, той се копира в Windows директорията под името SERVICES.EXE и създава стартов ключ за този файл в регистъра:
[HKLM\Software\Microsoft\windows\CurrentVersion\Run
"Norton Auto-Protect" = "SERVICES.EXE"
[HKLM\software\microsoft\windows\currentversion\runservices-]
"Windows Service" = "SERVICES.EXE"
[HKLM\software\microsoft\windows\currentversion\windowsupdate]
"auto update" = "SERVICES.EXE"
[HKLM\software\microsoft\windows\currentversion\app paths
"LUALL.exe" = "SERVICES.EXE"
[HKCR\txtfile\shell\open\command]
@ = "SERVICES.exe %1"
Освен това червеят създава ключове в регистъра, съдържащи неговото име, версия, езикът, на който е написан сорсът и списък с особености.
Червеят се записва и стартовата директория на всички потребители.
Червеят създава текстовия файл 'Norton AntiVirus.txt' в главната директория на C: устройство и записва в него следния текст:
Script Blocking: Disabled
Разпространение по електронната поща
Червеят се разпространява чрез съобщения, изпращани по електронната поща. той прочита адресната книга на Outlook и изпраща съобщение с прикрепен файл до всички намерени адреси. Червеят изпраща следното съобщение:
Subject:
Service Pack 2 BUG!!
Тяло:
Dear user I have been informed that there was a BUG in Windows
Service Pack 2 which was fixed I recommend you to download this
Patch version which will fix the bug and keep your system safe.
You will find the Patch file in the attachment, feal free to send it to anyone.
I'll be in touch with you as soon as another bug is found.
Regards,
A.H
Име на прикрепен файл:
Fix_SP2.zip
Прикрепеният файл е ZIP архива, съдържаща файла на червея 'Fix_SP2.exe'. ZIP архивата е свалена от червея от акаунт, намиращ се на уебсървъра на Geocities. За да се зарази, потребителят трябва да дезархивира и стартира файла.
Злонамерен товар
Червеят променя HOSTS файла, за да блокира достъпа до следните уебсайтове, чиито адреси са пренасочени към 127.0.0.1:
www.symantec.com www.microsoft.com www.wwe.com www.rohitab.com www.coderheaven.com www.astalavista.com www.google.com www.yahoo.com www.msn.com www.messenger.msn.com www.geocities.com www.worldsex.com www.cnn.com www.gamerevolution.com www.hackers.com www.fbi.gov www.hotmail.com www.norton.com www.idm.com Освен това червеят променя настройките на програмите за сигурността чрез регистъра (защитни стени, обновявания, съобщения за неактивен антивирусен софтуер и т.н.). Освен това се деактивират: System Restore, 'Run' опцията от стартовото меню, инструментите за работа с регистъра и Task Manager. Не могат да се стартират и следните приложения:
Write
Notepad
Regedit
Wordpad
Wuauctl
Wupdmgr
MSN Messenger
Червеят се опитва да промени името на компютъра, ProdictID на Windows и Internet Explorer на "Agent Hacker".
Червеят стартира и TASKKILL приложение, за да прекъсва определени процеси.
Как да го спра да се появява ?
)