Zdobí červ SillyAutoRun
Přítomnost červa SillyAutoRun.GP je docela nápadná, protože mění vzhled aplikace Internet Explorer.
A SillyAutoRun.GP červ se ve skutečnosti nepokouší jej zneviditelnit, protože mění pozadí panelů nástrojů aplikace Internet Explorer, mění jejich barvu a umisťuje malý obrázek pod záhlaví. Trojan se pokouší ztížit jeho ruční odstranění tím, že se zkopíruje do infikovaných systémů jako SvcHost.exe, takže se objeví v seznamu procesů, jako by to byl systémový proces Windows.
Červ je odnímatelný a snaží se dostat na co nejvíce počítačů prostřednictvím síťových jednotek. Umístí soubor new.exe do kořenového adresáře jednotek a poté zajistí, aby se mohl automaticky načíst při opětovném připojení úložiště.
Když se spustí červ SillyAutorun.GP, provede následující akce:
- Vytvořte následující položku v registrační databázi:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "% Windows% \ Tasks \ SvcHost.exe" - Upravte následující hodnoty v registru:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Odkazy
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = 0x0 - Zkopíruje se do kořenového adresáře všech dostupných a zapisovatelných jednotek (CP) jako „New.exe“ nebo „new.exe“. V těchto úložištích také vytvoří soubor autorun.inf.
- Změní registr a změní pozadí panelů nástrojů aplikace Internet Explorer
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapShell = „% Windows% \ system \ bs.pif“
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapIE5 = "% Windows% \ system \ bs.pif"