Ukrašava crva SillyAutoRun
Prisutnost crva SillyAutoRun.GP prilično je zapanjujuća jer mijenja izgled Internet Explorera.
A SillyAutoRun.GP crv se zapravo ne trudi učiniti ga nevidljivim, jer mijenja pozadinu alatnih traka programa Internet Explorer, mijenja njihovu boju i postavlja malu sliku ispod naslovne trake. Trojanac pokušava otežati ručno uklanjanje kopiranjem na zaražene sustave kao SvcHost.exe, čineći ga prikazanim na popisu procesa kao da je riječ o Windows sustavu.
Crv je uklonjiv i pokušava doći na što više računala putem mrežnih pogona. Postavlja datoteku new.exe u korijenski direktorij pogona i osigurava njezino automatsko učitavanje kada ponovno povežete pohranu.
Kada se crv SillyAutorun.GP pokrene, on izvodi sljedeće radnje:
- Stvorite sljedeći unos u bazi podataka za registraciju:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= “%Windows%\Tasks\SvcHost.exe” - Izmijenite sljedeće vrijednosti u registru:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Veze
HKCU \ Software \ Microsoft \ Internet Explorer \ Alatna traka \ Zaključano = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
PrikažiSuperHidden = 0x0 - Felmásolja magát az összes elérhető és írható (C-P betűjelű) meghajtó gyökér könyvtárába “New.exe” vagy “new.exe” néven. Ezeken az adattárolókon egy autorun.inf állományt is létrehoz.
- Mijenja registar da bi promijenio pozadinu alatnih traka programa Internet Explorer
HKCU \ Software \ Microsoft \ Internet Explorer \ Alatna traka \
backBitmapShell = “%Windows%\system\bs.pif”
HKCU \ Software \ Microsoft \ Internet Explorer \ Alatna traka \
backBitmapIE5 = “%Windows%\system\bs.pif”
