Szkodniki są pobierane przez robaka Fubalca

Robak Fubalca.E rozprzestrzenia się głównie za pośrednictwem wymiennych urządzeń pamięci masowej i pobiera różne złośliwe kody przez Internet.

Robak Fubalca.E kopiuje się na wszystkie zapisywalne dyski na zainfekowanych komputerach. Złośliwe oprogramowanie zapewnia również automatyczne uruchamianie wymiennych urządzeń pamięci masowej po ponownym podłączeniu.

Fubalca.E tworzy usługę o nazwie „WindowsDown”, a następnie próbuje ukryć ją za plikiem svchost.exe. Następnie pobiera pliki z predefiniowanych serwerów zdalnych, które są zapisywane w katalogu systemu Windows.

Po uruchomieniu robak Fubalca.E wykonuje następujące czynności:

1. Utwórz następujący plik:
% System% \servt.exe

2. Zmodyfikuj następujący wpis w bazie danych rejestracyjnych:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer ”NoDriveTypeAutoRun” = „0”

3. Utwórz plik AutoRun.inf w katalogu głównym każdego dysku z możliwością zapisu

4. Zmień datę systemową na 1981 stycznia 12 r., jeśli istnieje plik %System%\drivers\klick.sys.

5. Utwórz usługę o nazwie „WindowsDown”

6. Dodaj następujący wpis do bazy danych rejestracji:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Usługi\W indowsDown

7. Robak próbuje ukryć się za pomocą pliku %System%\svchost.exe.

8. Pobierz pliki z predefiniowanych serwerów i zapisz je w katalogu systemu Windows.