Datoteke Excel so alergične na črva Dutan

Črv Dutan.A si predvsem prizadeva uničiti datoteke, ustvarjene z Excelovo preglednico.

Črv Dutan.A se najpogosteje na izbrane računalnike prenaša prek omrežnih pogonov ali snemljivih pomnilniških naprav. Nato ustvari nekaj datotek in spremeni registracijsko bazo podatkov. Črv kopira dve datoteki v vsako razpoložljivo omrežje in odstranljiv pogon. Te sporoča ena, ki vsebuje zlonamerno programsko opremo, druga pa zagotavlja, da se črv lahko samodejno naloži ob ponovni povezavi naprav za shranjevanje.

Dutan.A skenira vse razpoložljive datoteke .xls na okuženih računalnikih in jim doda 2 KB naključni niz. Zaradi tega lahko Excelove datoteke postanejo neuporabne.

Ko se črv Dutan.A zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
   % Sistem% \ winxpsp2.dll
   % System% \ csrsss.exe
   % System% \ svchosts.exe
2. Kopirajte naslednji dve datoteki v korenski imenik vsakega omrežja in izmenljivega pogona:
   svchosts.exe
   autorun.inf
3. V bazo podatkov o registraciji se dodajo naslednji vnosi:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Microsoft OfficeTool" = "svchosts.exe"
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
   \MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
   = "Vozi"
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
   \MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
   = "Vozi"

4. Poiščite datoteke z razširitvijo .xls, ki ji dodate 2 KB naključno sestavljen niz.