Decora el gusano SillyAutoRun
La presencia del gusano SillyAutoRun.GP es bastante sorprendente ya que cambia el aspecto de Internet Explorer.
A SillyAutoRun.GP El gusano realmente no intenta hacerlo invisible, porque cambia el fondo de las barras de herramientas de Internet Explorer, cambia su color y coloca una pequeña imagen debajo de la barra de título. El troyano intenta hacer que sea más difícil eliminarlo manualmente copiándose a sí mismo en los sistemas infectados como SvcHost.exe, haciendo que aparezca en la lista de procesos como si fuera un proceso del sistema de Windows.
El gusano es extraíble e intenta cargarse en tantos equipos como sea posible a través de unidades de red. Coloca un archivo new.exe en el directorio raíz de las unidades y garantiza que se pueda cargar automáticamente cuando vuelva a conectar el almacenamiento.
Cuando se inicia el gusano SillyAutorun.GP, realiza las siguientes acciones:
- Cree la siguiente entrada en la base de datos de registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ load
= "% Windows% \ Tasks \ SvcHost.exe" - Modifique los siguientes valores en el registro:
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ LinksFolderName = Enlaces
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Locked = 0x1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
MostrarSuperOculto = 0x0 - Se copia a sí mismo en el directorio raíz de todas las unidades disponibles y grabables (CP) como "New.exe" o "new.exe". También crea un archivo autorun.inf en estos repositorios.
- Cambia el registro para cambiar el fondo de las barras de herramientas de Internet Explorer
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapShell = "% Windows% \ system \ bs.pif"
HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \
backBitmapIE5 = "% Windows% \ system \ bs.pif"
