Dekorál a SillyAutoRun féreg

A SillyAutoRun.GP féreg jelenléte meglehetősen feltűnő, ugyanis az Internet Explorer kinézetét változtatja meg.

A SillyAutoRun.GP féreg nem igazán törekszik arra, hogy láthatatlan maradjon, ugyanis az Internet Explorer eszközsorainak hátterét lecseréli, és ezzel megváltoztatja azok színét, valamint egy kis képet is elhelyez a címsor alatt. A trójai mindössze annyival próbálja megnehezíteni a kézi eltávolítását, hogy SvcHost.exe néven másolja be magát a fertőzött rendszerekre, és ezáltal a folyamatlistában úgy látszik, mintha a Windows egyik rendszerfolyamata lenne.

A féreg cserélhető és hálózati meghajtókon keresztül igyekszik minél több számítógépre felkerülni. A meghajtók gyökér könyvtárába egy new.exe fájlt helyez el, majd gondoskodik arról, hogy az adattárolók újbóli csatlakoztatásakor automatikusan be tudjon töltődni.

Amikor a SillyAutorun.GP féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\load
   = “%Windows%\Tasks\SvcHost.exe”
2. A regisztrációs adatbázisban módosítja a következő értékeket:
   HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
   HKCU\Software\Microsoft\Internet Explorer\Toolbar\Locked = 0x1
   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   ShowSuperHidden = 0x0
3. Felmásolja magát az összes elérhető és írható (C-P betűjelű) meghajtó gyökér könyvtárába “New.exe” vagy “new.exe” néven. Ezeken az adattárolókon egy autorun.inf állományt is létrehoz.
4. A regisztrációs adatbázis módosításával megváltoztatja az Internet Explorer eszközsorainak hátterét
   HKCU\Software\Microsoft\Internet Explorer\Toolbar\
   backBitmapShell = “%Windows%\system\bs.pif”
   HKCU\Software\Microsoft\Internet Explorer\Toolbar\
   backBitmapIE5 = “%Windows%\system\bs.pif”