Украшает червя SillyAutoRun
Присутствие червя SillyAutoRun.GP весьма примечательно, поскольку он меняет внешний вид Internet Explorer.
A SillyAutoRun.GP На самом деле червь не пытается сделать его невидимым, потому что он изменяет фон панелей инструментов Internet Explorer, изменяя их цвет и помещая небольшое изображение под строкой заголовка. Троянец пытается затруднить его удаление вручную, копируя себя в зараженные системы как SvcHost.exe, благодаря чему он отображается в списке процессов, как если бы это был системный процесс Windows.
Червь является съемным и пытается загрузить на максимальное количество компьютеров через сетевые диски. Он помещает файл new.exe в корневой каталог дисков и обеспечивает его автоматическую загрузку при повторном подключении хранилища.
При запуске червь SillyAutorun.GP выполняет следующие действия:
- Создайте следующую запись в базе данных регистрации:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= «%Windows%\Tasks\SvcHost.exe» - Измените следующие значения в реестре:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Ссылки
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Программное обеспечение \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Шоуперскрытый = 0x0 - Он копирует себя в корневой каталог всех доступных и записываемых (CP) дисков как «New.exe» или «new.exe». В этих хранилищах данных также создается файл autorun.inf.
- Изменяет реестр для изменения фона панелей инструментов Internet Explorer
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Панель инструментов \
backBitmapShell = «%Windows%\system\bs.pif»
HKCU \ Программное обеспечение \ Microsoft \ Internet Explorer \ Панель инструментов \
backBitmapIE5 = «%Windows%\system\bs.pif»