Ozdabia robaka SillyAutoRun

Obecność robaka SillyAutoRun.GP jest dość uderzająca, ponieważ zmienia on wygląd Internet Explorera.

A SillyAutoRun.GP Robak tak naprawdę nie próbuje uczynić go niewidocznym, ponieważ zmienia tło pasków narzędzi Internet Explorera, zmieniając ich kolor i umieszczając mały obrazek pod paskiem tytułowym. Trojan próbuje utrudnić ręczne usunięcie go, kopiując się do zainfekowanych systemów jako SvcHost.exe, przez co pojawia się na liście procesów tak, jakby był procesem systemu Windows.

Robak jest usuwalny i próbuje dostać się do jak największej liczby komputerów za pośrednictwem dysków sieciowych. Umieszcza plik new.exe w katalogu głównym dysków, a następnie zapewnia, że ​​może on zostać załadowany automatycznie po ponownym podłączeniu pamięci masowej.

Po uruchomieniu robak SillyAutorun.GP wykonuje następujące działania:

1. Utwórz następujący wpis w bazie danych rejestracji:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
   = "% Windows% \ Zadania \ SvcHost.exe"
2. Zmodyfikuj następujące wartości w rejestrze:
   HKCU \ Oprogramowanie \ Microsoft \ Internet Explorer \ Pasek narzędzi \ LinksFolderName = Linki
   HKCU \ Oprogramowanie \ Microsoft \ Internet Explorer \ Pasek narzędzi \ Zablokowany = 0x1
   HKCU \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Eksplorator \ Zaawansowane \
   PokażSuperukryte = 0x0
3. Kopiuje się do katalogu głównego wszystkich dostępnych i zapisywalnych (CP) dysków jako „New.exe” lub „new.exe”. Tworzy również plik autorun.inf w tych repozytoriach.
4. Zmienia rejestr, aby zmienić tło pasków narzędzi Internet Explorer
   HKCU \ Oprogramowanie \ Microsoft \ Internet Explorer \ Pasek narzędzi \
   backBitmapShell = „% Windows% \ system \ bs.pif”
   HKCU \ Oprogramowanie \ Microsoft \ Internet Explorer \ Pasek narzędzi \
   backBitmapIE5 = "% Windows% \ system \ bs.pif"