Autoit.HW

Az Autoit.HW féreg egyértelmű célja, hogy egy-egy fertőzött rendszeren minél tovább tudja elvégezni a számára kijelölt feladatot. Ez pedig nem más, mint hogy a számítógéphez csatlakoztatott cserélhető meghajtókra - főleg pendrive-okra - felmásolja a saját állományait, és gondoskodjon arról, hogy e meghajtók újbóli használatakor automatikusan be tudjon töltődni.

Az Autoit.HW abból ismerhető fel a leginkább, hogy lecseréli a Windows Asztalán a Sajátgép ikonját, és a parancsikont a winlogon.exe állományra irányítja át. Ezt követően olyan módosításokat végez a regisztrációs adatbázisban, amelyek révén elérhetetlenné teszi a Windows regisztrációs adatbázisának szerkesztőjét és a Feladatkezelőt. A féreg ezek mellett olyan változtatásokat is eszközöl, amelyek révén megpróbálja elrejteni a saját állományait a felhasználó elől, és ezáltal igyekszik megnehezíteni az eltávolítását.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%Windows%\ADMINSTRATOR.EXE
%Windows%\LOIKAW.EXE
%System32%\EXTRAMAIN.EXE

2.A C meghajtó valamint a cserélhető adattárolók gyökér könyvtárába létrehoz egy AUTORUN.INF nevű állományt.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\System\DisableRegistryTools = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\System\DisableTaskMgr = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\Explorer\NoFind = 1
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Policies\ Explorer\NoFolderOptions = 1
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon\(Default) = %sysdir%\winlogon.exe,0

3. Módosítja a Sajátgép ikonját az Asztalon, és azt ráirányítja a winlogon.exe állományra.

4.A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %sysdir%\userinit.exe,C:\WINDOWS\Loikaw.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Explorer\Advanced\Hidden = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\Hidden = 02, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\HideFileExt = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\HideFileExt = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ShowSuperHidden = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ShowSuperHidden = 00, 00, 00, 00

5. Megpróbál cserélhető meghajtókon keresztül tovább terjedni. Ezekre az adattárolókra az alábbi fájlokat másolja fel:
MP3.EXE
LOIKAWHACKING.DAY.COM