I parassiti vengono scaricati dal worm Fubalca

Il worm Fubalca.E si diffonde principalmente attraverso dispositivi di archiviazione rimovibili e scarica vari codici dannosi su Internet.

Il worm Fubalca.E si copia su tutte le unità scrivibili sui computer infetti. Il malware garantisce inoltre che i dispositivi di archiviazione rimovibili si avviino automaticamente quando vengono riconnessi.

Fubalca.E crea un servizio chiamato “WindowsDown” e poi cerca di nascondersi dietro il file svchost.exe. Successivamente, scarica i file da server remoti predefiniti, che vengono salvati nella directory di sistema di Windows.

Quando il worm Fubalca.E si avvia, esegue le seguenti azioni:

1. Creare il seguente file:
% System% \ servet.exe

2. Modificare la seguente voce nel database di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDriveTypeAutoRun” = “0”

3. Creare un file AutoRun.inf nella directory principale di ogni unità scrivibile

4. Modificare la data di sistema al 1981 gennaio 12, se esiste il file% System% \ drivers \ klick.sys.

5. Crea un servizio chiamato "WindowsDown".

6. Aggiungere la seguente voce al database di registrazione:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indowsDown

7. Il worm cerca di nascondersi utilizzando il file% System% \ svchost.exe.

8. Scaricare i file dai server predefiniti e salvarli nella directory di sistema di Windows.