Okrasi črva SillyAutoRun
Prisotnost črva SillyAutoRun.GP je precej presenetljiva, saj spreminja videz Internet Explorerja.
A SillyAutoRun.GP črv ne poskuša narediti nevidnega, ker spremeni ozadje orodnih vrstic Internet Explorerja, spremeni njihovo barvo in pod naslovno vrstico postavi majhno sliko. Trojanec poskuša otežiti ročno odstranitev tako, da se kopira v okužene sisteme kot SvcHost.exe, zaradi česar je na seznamu procesov videti, kot da gre za sistemski proces Windows.
Črv je odstranljiv in poskuša priti na čim več računalnikov prek omrežnih pogonov. Datoteko new.exe postavi v korenski imenik pogonov in nato zagotovi, da se lahko samodejno naloži, ko znova povežete pomnilnik.
Ko se črv SillyAutorun.GP zažene, izvede naslednja dejanja:
- V registracijski bazi ustvarite naslednji vnos:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "% Windows% \ Tasks \ SvcHost.exe" - V registru spremenite naslednje vrednosti:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Povezave
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Prikaži SuperHidden = 0x0 - Kopira se v korenski imenik vseh razpoložljivih pogonov za zapisovanje (CP) kot »New.exe« ali »new.exe«. V teh skladiščih ustvari tudi datoteko autorun.inf.
- Spremeni register, da spremeni ozadje orodnih vrstic Internet Explorerja
HKCU \ Software \ Microsoft \ Internet Explorer \ Orodna vrstica \
backBitmapShell = “% Windows% \ system \ bs.pif”
HKCU \ Software \ Microsoft \ Internet Explorer \ Orodna vrstica \
backBitmapIE5 = "% Windows% \ system \ bs.pif"
