Les parasites sont téléchargés par le ver Fubalca

Le ver Fubalca.E se propage principalement via des périphériques de stockage amovibles et télécharge divers codes malveillants sur Internet.

Le ver Fubalca.E se copie sur tous les lecteurs inscriptibles des ordinateurs infectés. Le malware garantit également que les périphériques de stockage amovibles démarrent automatiquement lorsqu'ils sont reconnectés.

Fubalca.E crée un service appelé « WindowsDown » puis essaie de se cacher derrière le fichier svchost.exe. Après cela, il télécharge les fichiers à partir de serveurs distants prédéfinis, qui sont enregistrés dans le répertoire système Windows.

Lorsque le ver Fubalca.E démarre, il effectue les actions suivantes :

1. Créez le fichier suivant :
% System% \ servet.exe

2. Modifiez l'entrée suivante dans la base de données d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer"NoDriveTypeAutoRun" = "0"

3. Créez un fichier AutoRun.inf dans le répertoire racine de chaque lecteur accessible en écriture

4. Remplacez la date système par le 1981 janvier 12, si le fichier % System% \ drivers \ klick.sys existe.

5. Créez un service appelé « WindowsDown ».

6. Ajoutez l'entrée suivante à la base de données d'enregistrement :
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indowsDown

7. Le ver essaie de se cacher à l'aide du fichier % System% \ svchost.exe.

8. Téléchargez des fichiers à partir de serveurs prédéfinis et enregistrez-les dans le répertoire système de Windows.