Dekorál a SillyAutoRun féreg
A SillyAutoRun.GP féreg jelenléte meglehetősen feltűnő, ugyanis az Internet Explorer kinézetét változtatja meg.
A SillyAutoRun.GP féreg nem igazán törekszik arra, hogy láthatatlan maradjon, ugyanis az Internet Explorer eszközsorainak hátterét lecseréli, és ezzel megváltoztatja azok színét, valamint egy kis képet is elhelyez a címsor alatt. A trójai mindössze annyival próbálja megnehezíteni a kézi eltávolítását, hogy SvcHost.exe néven másolja be magát a fertőzött rendszerekre, és ezáltal a folyamatlistában úgy látszik, mintha a Windows egyik rendszerfolyamata lenne.
A féreg cserélhető és hálózati meghajtókon keresztül igyekszik minél több számítógépre felkerülni. A meghajtók gyökér könyvtárába egy new.exe fájlt helyez el, majd gondoskodik arról, hogy az adattárolók újbóli csatlakoztatásakor automatikusan be tudjon töltődni.
Amikor a SillyAutorun.GP féreg elindul, akkor az alábbi műveleteket hajtja végre:
- A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\load
= “%Windows%\Tasks\SvcHost.exe” - A regisztrációs adatbázisban módosítja a következő értékeket:
HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Locked = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0x0 - Felmásolja magát az összes elérhető és írható (C-P betűjelű) meghajtó gyökér könyvtárába “New.exe” vagy “new.exe” néven. Ezeken az adattárolókon egy autorun.inf állományt is létrehoz.
- A regisztrációs adatbázis módosításával megváltoztatja az Internet Explorer eszközsorainak hátterét
HKCU\Software\Microsoft\Internet Explorer\Toolbar\
backBitmapShell = “%Windows%\system\bs.pif”
HKCU\Software\Microsoft\Internet Explorer\Toolbar\
backBitmapIE5 = “%Windows%\system\bs.pif”
