pátek 25. května 2012

W32.SillyFDC.BDQ

W32.SillyFDC.BDQ je červ, který se pokouší šíří kopírováním sebe k namapované disky a vyměnitelná. 
Když červ spustí, zkopíruje se na následujících místech: 
  • % System% \ systemio.exe
  • SystemDrive%% \ Mixa_I.exe
  • % Windir% \ Mixa.exe

Vytváří také následující soubory:
  • % System% \ mui \ 0416 \ log.wma
  • % System% \ restart.scf

Dále červ vytvoří následující položku registru tak, že spustí vždy, když se spustí systém Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Virus" = "% Windir% \ Mixa.exe" Mění také následující položky registru, takže že se provádí vždy, když se spustí systém Windows: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% System% \ systemio.exe" Červ pak upravuje následující položky registru změnit nastavení programu Průzkumník Windows:





  • = "0"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "WebView" = "1"

Dále červ pokouší šířit tím, že vytvoří následující soubor na všech mapovaných pohony:
DriveLetter%% \ Mixa_I.exe Červ vytváří následující soubor na všech vyměnitelných převodovky: DriveLetter%% \ mixa_i.exe Poté vytvoří následující soubory tak, že se provádí vždy, když jsou dostupné pohony:





  • DriveLetter%% \ autorun.inf
  • SystemDrive%% \ Autorun.inf

Žádné komentáře:

Okomentovat