Décore le ver SillyAutoRun
La présence du ver SillyAutoRun.GP est assez frappante car il modifie l'apparence d'Internet Explorer.
A SillyAutoRun.GP Le ver n'essaie pas vraiment de le rendre invisible, car il modifie l'arrière-plan des barres d'outils d'Internet Explorer, change leur couleur et place une petite image sous la barre de titre. Le cheval de Troie essaie de rendre plus difficile sa suppression manuelle en se copiant sur les systèmes infectés en tant que SvcHost.exe, le faisant apparaître dans la liste des processus comme s'il s'agissait d'un processus système Windows.
Le ver est amovible et essaie de s'introduire sur autant d'ordinateurs que possible via des lecteurs réseau. Il place un nouveau fichier.exe dans le répertoire racine des lecteurs et garantit qu'il peut se charger automatiquement lorsque vous reconnectez le stockage.
Lorsque le ver SillyAutorun.GP démarre, il effectue les actions suivantes :
- Créez l'entrée suivante dans la base de données d'enregistrement :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "%Windows%\Tasks\SvcHost.exe" - Modifiez les valeurs suivantes dans le registre :
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Links
HKCU \ Logiciel \ Microsoft \ Internet Explorer \ Barre d'outils \ Verrouillé = 0x1
HKCU \ Logiciel \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
AfficherSuperCaché = 0x0 - Il se copie dans le répertoire racine de tous les lecteurs accessibles et inscriptibles (C-P) sous le nom « New.exe » ou « new.exe ». Il crée également un fichier autorun.inf sur ces magasins de données.
- Modifie le registre pour changer l'arrière-plan des barres d'outils d'Internet Explorer
HKCU \ Logiciel \ Microsoft \ Internet Explorer \ Barre d'outils \
retourBitmapShell = « %Windows%\system\bs.pif »
HKCU \ Logiciel \ Microsoft \ Internet Explorer \ Barre d'outils \
retourBitmapIE5 = « %Windows%\system\bs.pif »
