Il verme Solow provoca gravi danni

Il worm Solow, oltre a potersi diffondere abbastanza velocemente, rende addirittura inutilizzabili i computer infetti.

Il worm Solow entra nei computer principalmente attraverso l'archiviazione rimovibile. Quando si avvia su di essi, crea un numero di file e modifica il registro. Il worm conta il numero di volte in cui è stato eseguito ed elimina i file o le directory di sistema di Windows più importanti per la centesima volta. Ciò renderà il sistema operativo inutilizzabile.

Fino a quando il worm non avvia 100, il worm cerca di accedere al maggior numero possibile di dispositivi di archiviazione rimovibili, ad esempio un'unità flash.

Quando il worm Solow si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% Windir% \ pchealth \ helpctr \ binaries \ msconfig.exe
% Windir% \\\ egedit.exe
% System% \ cmd.exe
% System% \ systeminit.exe
% System% \ taskmgr.exe
% System% \ wininit.exe
% System% \ winsystem.exe

2. Copiare i due file seguenti su un supporto rimovibile:
kerneldrive.exe
autorun.inf

3. Creare le seguenti voci nel database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”wininit” = “%System%\wininit.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = "%System%\systeminit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"Titolo finestra" = "Hacked by 1BYTE"
HKEY_CURRENT_USER\Software\Microsoft”nFlag” = “[numero di esecuzioni del codice]”
HKEY_CURRENT_USER\Software\Microsoft"ServicePack" = "1.2"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

4. Modificare le seguenti voci nel database di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer”SearchHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer"SeachSystemDirs" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDriveTypeAutoRun” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"Nascosto" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"HildeFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”SuperHidden” = “1”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HaredAccess"Start" = "1"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Versione corrente\Policies\Explorer”NoFolderOptions” = “1”

5. Quando il worm si avvia per la centesima volta, tenta di eliminare i seguenti file di sistema:
% SystemDrive% \ boot.ini
% SystemDrive% \ IO.SYS
% SystemDrive% \ MSDOS.SYS
% SystemDrive% \ NTDETECT.COM
% SystemDrive% \\\ tldr

6. Eliminare tutti i file dalle seguenti directory:
% vento%
% File di programma%
% SystemDrive% \ Documenti e impostazioni.