Декорира червея SillyAutoRun
Присъствието на червея SillyAutoRun.GP е доста поразително, тъй като променя външния вид на Internet Explorer.
A SillyAutoRun.GP червеят наистина не се опитва да го направи невидим, защото променя фона на лентите с инструменти на Internet Explorer, променя цвета им и поставя малко изображение под лентата на заглавието. Троянецът се опитва да затрудни ръчното му премахване, като се копира на заразени системи като SvcHost.exe, което го прави в списъка с процеси, сякаш е системен процес на Windows.
Червеят е подвижен и се опитва да се качи на възможно най-много компютри чрез мрежови устройства. Той поставя файл new.exe в основната директория на устройствата и гарантира, че може да се зареди автоматично, когато свържете отново хранилището.
Когато червеят SillyAutorun.GP се стартира, той изпълнява следните действия:
- Създайте следния запис в базата данни за регистрация:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "% Windows% \ Tasks \ SvcHost.exe" - Променете следните стойности в системния регистър:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Връзки
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = 0x0 - Той се копира в основната директория на всички налични и записваеми (CP) устройства като „New.exe“ или „new.exe“. Той също така създава файл autorun.inf в тези хранилища.
- Променя регистъра, за да промени фона на лентите с инструменти на Internet Explorer
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapShell = “% Windows% \ system \ bs.pif”
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapIE5 = "% Windows% \ system \ bs.pif"
