装饰 SillyAutoRun 蠕虫
SillyAutoRun.GP 蠕虫的存在非常引人注目,因为它改变了 Internet Explorer 的外观。
A 傻傻的自动运行程序 蠕虫并没有真正尝试使它不可见,因为它会更改 Internet Explorer 工具栏的背景、颜色,并在标题栏下方放置一个小图像。 该特洛伊木马试图通过将自身作为 SvcHost.exe 复制到受感染的系统,使其像 Windows 系统进程一样出现在进程列表中,从而使其难以手动删除。
该蠕虫是可移动的,并试图通过网络驱动器访问尽可能多的计算机。 它会在驱动器的根目录中放置一个 new.exe 文件,并确保在您重新连接存储时它可以自动加载。
当 SillyAutorun.GP 蠕虫启动时,它会执行以下操作:
- 在注册数据库中创建以下条目:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\load
=“%Windows%\Tasks\SvcHost.exe” - 修改注册表中的以下值:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = 链接
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
显示超级隐藏 = 0x0 - 它将自身复制到所有可访问和可写(C-P)驱动器的根目录中,作为“New.exe”或“new.exe”。它还在这些数据存储上创建一个 autorun.inf 文件。
- 更改注册表以更改 Internet Explorer 工具栏的背景
HKCU \ 软件 \ Microsoft \ Internet Explorer \ 工具栏 \
backBitmapShell = “%Windows%\system\bs.pif”
HKCU \ 软件 \ Microsoft \ Internet Explorer \ 工具栏 \
backBitmapIE5 = “%Windows%\system\bs.pif”
