Beware of W32/SillyFD-AA

W32/SillyFD-AA
Robak rozprzestrzenia się poprzez kopiowanie się na urządzenia USB podłączone do lokalnego komputera.

Znany również jako:

• Worm.Win32.VB.fw
• W32/Sillyworm.WR
• W32/Archiles.worm
• WORM_VB.CNG

Raz zainstalowany W32/SillyFD-AA rozprzestrzenia się poprzez urządzenia wymienne, włączając dyskietki i urządzenia USB.
Tworzy ukryty plik Autorun.inf na urządzeniu i kopiuje się do tego urządzenia jako ukryty plik <Root>\handydriver.exe.
Plik <Root>\Autorun.inf jest tak utworzony, żeby robak natychmiast uruchamiał się po podłączeniu urządzenia do niezainfekowanego komputera.

W32/SillyFD-AA kopiuje się do następujących lokalizacji:

• <Root>\kerneldrive.exe
  
• <Windows>\regedit.exe
• <Windows>\pchealth\helpctr\Binaries\msconfig.exe
• <System>\systeminit.exe
• <System>\wininit.exe
• <System>\winsystem.exe
• <System>\cmd.exe
• <System>\taskmgr.exe

W32/SillyFD-AA tworzy także następujący plik <Root>\autorun.inf.

Następujące wpisy do rejestru są dodawane, aby robak automatycznie się uruchamiał::

Klucz:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nazwa wartości:
Userinit
Dane wartości:
<System>\userinit.exe,<System>\systeminit.exe,

Klucz:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nazwa wartości:
wininit
Dane wartości:
<System>\wininit.exe

Dodatkowo, robak dodaje/modyfikuje także następujące wpisy:

Klucz:
HKCU\Software\Microsoft\Internet Explorer\Main
Nazwa wartości:
Window Title
Dane wartości:
Hacked by 1BYTE

Klucz:
HKCU\Software\Microsoft
Nazwa wartości:
ServicePack
Dane wartości:
1.2

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Nazwa wartości:
SearchHidden
Dane wartości:
0

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Nazwa wartości:
SearchSystemDirs
Dane wartości:
0

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nazwa wartości:
NoFolderOptions
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Nazwa wartości:
DisableRegedit
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Nazwa wartości:
DisableRegistryTools
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Nazwa wartości:
DisableTaskMgr
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft
Nazwa wartości:
nFlag
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Nazwa wartości:
Hidden
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Nazwa wartości:
HideFileExt
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Nazwa wartości:
ShowSuperHidden
Dane wartości:
0

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Nazwa wartości:
SuperHidden
Dane wartości:
1

Klucz:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nazwa wartości:
NoDriveTypeAutoRun
Dane wartości:
0

Klucz:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Nazwa wartości:
Start
Dane wartości:
1

Zaleca się:

• wyłączyć  funkcję Autorun
• skanować anti-virus’em każde podłączane urządzenie

Dodatkowe linki:

• Danger USB! Worm targets removable memory sticks… (EN)
• W32/SillyFD-AA – Worm – Sophos threat analysis (EN)
• Uważaj na robaczywe USB! (PL)