Az ExeFolder.E féreg egyszerű működésű, nem végez különösebben összetett műveleteket a kiszemelt rendszereken. A féreg ennek ellenére képes bosszúságot okozni. Főleg az eltávolítása során tudja megnehezíteni a PC tulajdonosának dolgát. A kártékony program ugyanis számos könyvtárba bemásolja a saját állományait, és azokat - az ikonok lecserélésével - úgy tűnteti fel, mintha könyvtárak lennének. Ezért a gyanútlan felhasználó nagyobb valószínűséggel kattint rá ezekre a fájlokra.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy az ExeFolder.E nem igazán próbál elrejtőzni. A Windows Asztalán például egy jól látható, piros karakterekből álló üzenetet jelenít meg, amelyet rendszeresen módosít. Ez az üzenet csak a trójai eltávolítása után válhat elrejthetővé.
Az ExeFolder.E elsősorban cserélhető meghajtókon terjed, amelyek gyökérkönyvtárába egy NEWFOLDER.EXE nevű fájlt hoz létre.
Amikor az ExeFolder.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
C:\NEW FOLDER.EXE
C:\Documents and Settings\DOCUMENTS AND SETTINGS.EXE
C:\mIRC\MIRC.EXE
2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
3. Számos könyvtárba bemásolja magát, és a fertőzött állományát a mappa nevének megfelelően nevezi el.
4. Minden cserélhető meghajtó gyökér könyvtárába bemásol egy NEWFOLDER.EXE nevű fájlt.
5. Módosítja a Windows Asztal hátterét, amelynek felső részében egy piros feliratot helyez el. Ezt a feliratot rendszeresen módosítja.
6. Megváltoztatja a Windows Intéző ablakának címsorát.
7. A saját fájljaihoz tartozó ikonokat módosítja, és legtöbbször a mappák esetében megszokott ikonokkal cseréli le azokat.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.