Fubalca蠕虫下载害虫

Fubalca.E 蠕虫主要通过可移动存储设备进行传播，并通过 Internet 下载各种恶意代码。

Fubalca.E 蠕虫将自身复制到受感染计算机上的所有可写驱动器。 该恶意软件还确保可移动存储设备在重新连接时自动启动。

Fubalca.E 创建一个名为“WindowsDown”的服务，然后尝试隐藏在 svchost.exe 文件后面。之后，它从预定义的远程服务器下载文件，这些文件保存在 Windows 系统目录中。

Fubalca.E 蠕虫启动时，会执行以下操作：

1. 创建以下文件：
%系统%\servet.exe

2. 修改注册数据库中的以下条目：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”NoDriveTypeAutoRun” = “0”

3.在每个可写驱动器的根目录下创建一个AutoRun.inf文件

4. 如果%System%\drivers\klick.sys 文件存在，则将系统日期更改为1981 年12 月XNUMX 日。

5. 创建一个名为“WindowsDown”的服务。

6. 将以下条目添加到注册数据库：
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indowsDown

7. 蠕虫试图使用%System%\svchost.exe 文件隐藏自己。

8. 从预定义的服务器下载文件并将它们保存到 Windows 系统目录。