Червеят Solow причинява сериозни щети

Червеят Solow, освен че може да се разпространява доста бързо, дори прави заразените компютри напълно неизползваеми.

Червеят Solow попада в компютрите предимно чрез сменяемо хранилище. Когато започнете с тях, той създава редица файлове и модифицира системния регистър. Червеят преброява колко пъти е стартирал и изтрива най-важните системни файлове или директории на Windows за 100-и път. Това ще направи операционната система неизползваема.

Докато червеят не стартира 100, червеят се опитва да се качи на възможно най-много сменяеми устройства за съхранение, като флаш устройство.

Когато червеят Solow стартира, той изпълнява следните действия:

1. Създайте следните файлове:
% Windir% \ pchealth \ helpctr \ binaries \ msconfig.exe
% Windir% \\\ egedit.exe
% Система% \ cmd.exe
% System% \ systeminit.exe
% System% \ taskmgr.exe
% System% \ wininit.exe
% System% \ winsystem.exe

2. Копирайте следните два файла на сменяем носител:
kerneldrive.exe
autorun.inf

3. Създайте следните записи в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Стартирайте "wininit" = "% System% \ wininit.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Userinit” = “% System% \ systeminit.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main ”Заглавие на прозореца” = “Хакнат от 1BYTE”
HKEY_CURRENT_USER \ Software \ Microsoft ”nFlag” = „[брой изпълнения на кода]“
HKEY_CURRENT_USER \ Software \ Microsoft ”ServicePack” = “1.2”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System

4. Променете следните записи в базата данни за регистрация:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer “SearchHidden” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer ”SeachSystemDirs” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer ”NoDriveTypeAutoRun” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced “Скрито” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HildeFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "SuperHidden" = "1"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess “Start” = “1”
HKEY_USERS \ .DEFAULT \ Software \ Microsoft \ Windows \ Текуща версия \ Политики \ Explorer “NoFolderOptions” = “1”

5. Когато червеят се стартира за стотен път, той се опитва да изтрие следните системни файлове:
% SystemDrive% \ boot.ini
% SystemDrive% \ IO.SYS
% SystemDrive% \ MSDOS.SYS
% SystemDrive% \ NTDETECT.COM
% SystemDrive% \\\ tldr

6. Изтрийте всички файлове от следните директории:
% Windir%
% Програмните файлове%
% SystemDrive% \ Документи и настройки.