Decora il worm SillyAutoRun
La presenza del worm SillyAutoRun.GP è piuttosto sorprendente in quanto cambia l'aspetto di Internet Explorer.
A SillyAutoRun.GP Il worm non cerca davvero di renderlo invisibile, perché cambia lo sfondo delle barre degli strumenti di Internet Explorer, cambiandone il colore e posizionando una piccola immagine sotto la barra del titolo. Il Trojan cerca di rendere difficile la rimozione manuale copiandosi sui sistemi infetti come SvcHost.exe, facendolo apparire nell'elenco dei processi come se fosse un processo di sistema di Windows.
Il worm è rimovibile e cerca di accedere al maggior numero possibile di computer tramite le unità di rete. Inserisce un file new.exe nella directory principale delle unità e garantisce che possa caricarsi automaticamente quando si ricollega lo storage.
Quando il worm SillyAutorun.GP si avvia, esegue le seguenti azioni:
- Creare la seguente voce nel database di registrazione:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= “%Windows%\Tasks\SvcHost.exe” - Modifica i seguenti valori nel registro:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Links
HKCU \ Software \ Microsoft \ Internet Explorer \ Barra degli strumenti \ Bloccato = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanzate \
MostraSuperNascosto = 0x0 - Si copia nella directory principale di tutte le unità accessibili e scrivibili (CP) come "New.exe" o "new.exe". Crea inoltre un file autorun.inf su questi archivi dati.
- Cambia il registro per cambiare lo sfondo delle barre degli strumenti di Internet Explorer
HKCU \ Software \ Microsoft \ Internet Explorer \ Barra degli strumenti \
backBitmapShell = “%Windows%\system\bs.pif”
HKCU \ Software \ Microsoft \ Internet Explorer \ Barra degli strumenti \
backBitmapIE5 = “%Windows%\system\bs.pif”
