I parassiti vengono scaricati dal worm Fubalca
Il worm Fubalca.E si diffonde principalmente attraverso dispositivi di archiviazione rimovibili e scarica vari codici dannosi su Internet.
Il worm Fubalca.E si copia su tutte le unità scrivibili sui computer infetti. Il malware garantisce inoltre che i dispositivi di archiviazione rimovibili si avviino automaticamente quando vengono riconnessi.
Fubalca.E crea un servizio chiamato “WindowsDown” e poi cerca di nascondersi dietro il file svchost.exe. Successivamente, scarica i file da server remoti predefiniti, che vengono salvati nella directory di sistema di Windows.
Quando il worm Fubalca.E si avvia, esegue le seguenti azioni:
1. Creare il seguente file:
% System% \ servet.exe
2. Modificare la seguente voce nel database di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDriveTypeAutoRun” = “0”
3. Creare un file AutoRun.inf nella directory principale di ogni unità scrivibile
4. Modificare la data di sistema al 1981 gennaio 12, se esiste il file% System% \ drivers \ klick.sys.
5. Crea un servizio chiamato "WindowsDown".
6. Aggiungere la seguente voce al database di registrazione:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indowsDown
7. Il worm cerca di nascondersi utilizzando il file% System% \ svchost.exe.
8. Scaricare i file dai server predefiniti e salvarli nella directory di sistema di Windows.