Komoly károkat okoz a Solow féreg
A Solow féreg amellett, hogy meglehetősen gyors terjedésre képes, még teljes mértékben használhatatlanná is teszi a megfertőzött számítógépeket.
A Solow féreg elsősorban cserélhető adattárolókon keresztül kerül rá a számítógépekre. Amikor azokon elindul, akkor számos fájlt hoz létre, és módosítja a regisztrációs adatbázist. A féreg számolja, hogy hányszor futott le, és a 100. alkalommal kitörli a Windows legfontosabb rendszerfájljait, illetve könyvtárait. Ezzel használhatatlanná teszi az operációs rendszert.
A féreg a 100. elindulásáig folyamatosan próbálkozik azzal, hogy minél több cserélhető adattárolóra, például pendrive-ra kerüljön rá.
Amikor a Solow féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\pchealth\helpctr\binaries\msconfig.exe
%Windir%\\\egedit.exe
%System%\cmd.exe
%System%\systeminit.exe
%System%\taskmgr.exe
%System%\wininit.exe
%System%\winsystem.exe
2. Cserélhető adattárolókra felmásolja az alábbi két állományt:
kerneldrive.exe
autorun.inf
3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”wininit” = “%System%\wininit.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\systeminit.exe”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Window Title” = “Hacked by 1BYTE”
HKEY_CURRENT_USER\Software\Microsoft”nFlag” = “[a kód lefutásának darabszáma]”
HKEY_CURRENT_USER\Software\Microsoft”ServicePack” = “1.2”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System
4. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer”SearchHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer”SeachSystemDirs” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoDriveTypeAutoRun” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HildeFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”SuperHidden” = “1”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess”Start” = “1”
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Policies\Explorer”NoFolderOptions” = “1”
5. Amikor a féreg századszor indul el, akkor megpróbálja letörölni a következő rendszerfájlokat:
%SystemDrive%\boot.ini
%SystemDrive%\IO.SYS
%SystemDrive%\MSDOS.SYS
%SystemDrive%\NTDETECT.COM
%SystemDrive%\\\tldr
6. Minden fájlt kitöröl az alábbi könyvtárakból:
%Windir%
%ProgramFiles%
%SystemDrive%\Documents and Settings.