Zdobí červa SillyAutoRun
Prítomnosť červa SillyAutoRun.GP je dosť zarážajúca, pretože mení vzhľad prehliadača Internet Explorer.
A SillyAutoRun.GP červ sa skutočne nesnaží urobiť ho neviditeľným, pretože mení pozadie panelov nástrojov prehliadača Internet Explorer, mení ich farbu a umiestňuje malý obrázok pod záhlavie. Trójsky kôň sa snaží sťažiť jeho manuálne odstránenie kopírovaním do infikovaných systémov ako SvcHost.exe, takže sa v zozname procesov zobrazuje, akoby išlo o systémový proces systému Windows.
Červ je odnímateľný a prostredníctvom sieťových jednotiek sa snaží dostať na čo najviac počítačov. Umiestni nový súbor.exe do koreňového adresára jednotiek a zaistí, aby sa mohol načítať automaticky po opätovnom pripojení úložiska.
Keď sa spustí červ SillyAutorun.GP, vykoná nasledujúce akcie:
- V registračnej databáze vytvorte tento záznam:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "%Windows%\Tasks\SvcHost.exe" - Upravte nasledujúce hodnoty v registri:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Odkazy
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = 0x0 - Skopíruje sa do koreňového adresára všetkých dostupných a zapisovateľných (C-P) jednotiek ako „New.exe“ alebo „new.exe“. V týchto dátových úložiskách tiež vytvorí súbor autorun.inf.
- Zmení register, aby sa zmenilo pozadie panelov s nástrojmi programu Internet Explorer
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapShell = “%Windows%\system\bs.pif”
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapIE5 = “%Windows%\system\bs.pif”