Вредителите се изтеглят от червея Fubalca

Червеят Fubalca.E се разпространява предимно чрез сменяеми устройства за съхранение и изтегля различни злонамерени кодове през Интернет.

Червеят Fubalca.E се копира на всички записваеми устройства на заразени компютри. Злонамереният софтуер също така гарантира, че сменяемите устройства за съхранение стартират автоматично, когато бъдат свързани отново.

Fubalca.E създава услуга, наречена „WindowsDown“ и след това се опитва да я скрие зад файла svchost.exe. След това изтегля файлове от предварително дефинирани отдалечени сървъри, които се записват в системната директория на Windows.

Когато червеят Fubalca.E се стартира, той изпълнява следните действия:

1. Създайте следния файл:
% System% \ servet.exe

2. Променете следния запис в базата данни за регистрация:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer ”NoDriveTypeAutoRun” = “0”

3. Създайте файл AutoRun.inf в основната директория на всяко записващо устройство

4. Променете системната дата на 1981 януари 12 г., ако съществува файлът% System% \ drivers \ klick.sys.

5. Създайте услуга, наречена “WindowsDown”

6. Добавете следния запис към базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indowsDown

7. Червеят се опитва да се скрие, използвайки файла% System% \ svchost.exe.

8. Изтеглете файлове от предварително дефинирани сървъри и ги запазете в системната директория на Windows.