Agentdoc.B

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy japán vagy egy kínai nyelvű Word dokumentumot.

2. Létrehozza a következő fájlokat:
%UserProfile%\Local Settings\Temp\CBEDE.exe
%UserProfile%\Local Settings\Temp\[CURRENT NAME].doc
%UserProfile%\Local Settings\Temp\123.exe
%System%\vvcxqgpq.dll
%System%\vvcxqgpq.drv
%System%\vvcxqgpq.tmp
%System%\drivers\vvcxqgpq.sys

3. Létrehoz egy ""vvcxqgpq"" nevű szolgáltatást.

4. A regisztrációs adatbázisba beszúrja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vvcxqgpq
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VVCXQGPQ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vvcxqgpq
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VVCXQGPQ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vvcxqgpq
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VVCXQGPQ

5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sens\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sens\Parameters
kulcsaihoz hozzáadja a
""ServiceDll"" = ""%System%\vvcxqgpq.dll"" értéket.

6. Rootkit technikák segítségével megpróbálja elrejteni a fájljait, és a fentiekben elvégzett módosításokat.

7. A %System%\vvcxqgpq.log fájlba naplózza a billentyűleütéseket

8. Az Interneten keresztül letölt egy fájlt, majd lefuttatja azt.