Dekorerer SillyAutoRun -ormen
Tilstedeværelsen af SillyAutoRun.GP -ormen er ganske slående, da den ændrer udseendet på Internet Explorer.
A SillyAutoRun.GP orm prøver ikke rigtigt at gøre det usynligt, fordi det ændrer baggrunden for Internet Explorer -værktøjslinjer, ændrer deres farve og placerer et lille billede under titellinjen. Trojaneren forsøger at gøre det vanskeligere at fjerne det manuelt ved at kopiere sig selv til inficerede systemer som SvcHost.exe, så det vises på proceslisten, som om det var en Windows -systemproces.
Ormen er aftagelig og forsøger at komme på så mange computere som muligt via netværksdrev. Det placerer en ny.exe -fil i rodmappen på drevene og sikrer derefter, at den kan indlæses automatisk, når du genopretter forbindelse til lageret.
Når SillyAutorun.GP -ormen starter, udfører den følgende handlinger:
- Opret følgende post i registreringsdatabasen:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "% Windows% \ Tasks \ SvcHost.exe" - Rediger følgende værdier i registreringsdatabasen:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Links
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanceret \
ShowSuperHidden = 0x0 - Det kopierer sig selv til rodmappen for alle tilgængelige og skrivbare (CP) -drev som "New.exe" eller "new.exe". Det opretter også en autorun.inf -fil på disse lagre.
- Ændrer registreringsdatabasen for at ændre baggrunden for Internet Explorer -værktøjslinjer
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapShell = “% Windows% \ system \ bs.pif”
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapIE5 = "% Windows% \ system \ bs.pif"
