Schmückt den SillyAutoRun-Wurm
Das Vorhandensein des SillyAutoRun.GP-Wurms ist ziemlich auffällig, da er das Aussehen von Internet Explorer verändert.
A SillyAutoRun.GP Wurm versucht nicht wirklich, ihn unsichtbar zu machen, da er den Hintergrund der Internet Explorer-Symbolleisten ändert, ihre Farbe ändert und ein kleines Bild unter der Titelleiste platziert. Der Trojaner versucht lediglich, die manuelle Entfernung zu erschweren, indem er sich als SvcHost.exe auf infizierte Systeme kopiert, sodass er in der Prozessliste wie ein Windows-Systemprozess erscheint.
Der Wurm ist entfernbar und versucht, über Netzlaufwerke auf so viele Computer wie möglich hochgeladen zu werden. Es legt eine neue.exe-Datei im Stammverzeichnis der Laufwerke ab und sorgt dafür, dass sie beim erneuten Anschließen des Speichers automatisch geladen werden kann.
Wenn der Wurm SillyAutorun.GP startet, führt er die folgenden Aktionen aus:
- Erstellen Sie in der Registrierungsdatenbank folgenden Eintrag:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Ausführen \ Laden
= "% Windows% \ Aufgaben \ SvcHost.exe" - Ändern Sie die folgenden Werte in der Registrierung:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Links
HKCU \ Software \ Microsoft \ Internet Explorer \ Symbolleiste \ Gesperrt = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \
ShowSuperHidden = 0x0 - Es kopiert sich als „New.exe“ oder „new.exe“ in das Root-Verzeichnis aller verfügbaren und beschreibbaren (CP) Laufwerke. Es erstellt auch eine autorun.inf-Datei in diesen Repositorys.
- Ändert die Registrierung, um den Hintergrund der Internet Explorer-Symbolleisten zu ändern
HKCU \ Software \ Microsoft \ Internet Explorer \ Symbolleiste \
backBitmapShell = „% Windows% \ system \ bs.pif“
HKCU \ Software \ Microsoft \ Internet Explorer \ Symbolleiste \
backBitmapIE5 = "% Windows% \ system \ bs.pif"
