Alcra.A

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\regedit.com
%System%\taskmgr.exe
%System%\tasklist.com
%System%\taskkill.com
%System%\netstat.com
%System%\tracert.com
%System%\ping.com
%System%\cmd.com

2. Bemásolja magát az alábbi könyvtárakba:
%ProgramFiles%\MSConfigs\MSConfigs.exe
%System%\bt.exe
%System%\z.tmp

3. Létrehoz egy temp.zip és egy bszip.dll nevű állományt a Windows System könyvtárába

4. A Windows System könyvtárába bemásol egy p2pnetwork.exe nevű fájlt, amely egy Spybot férget tartalmaz.

5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsaihoz hozzáadja az
""MsConfigs"" = ""MsConfigs.exe"" értéket.

6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Lsa
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Ole
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\System\CurrentControlSet\Lsa
kulcsaihoz hozzáadja a
""p2pnetwork"" = ""p2pnetwork.exe"" értéket.

7. Megkeresi azokat a könyvtárakat, amelyek neve tartalmazza az alábbi szövegeket:
\shared
\Ares\My Shared Folder
\eMule\Incoming
\Kazaa\My Shared Folder
My Shared Folder
\morpheus\My Shared Folder
\grokster\my grokster
\Bearshare\Shared
\Limewire\Shared
\Edonkey2000\Incoming
\gnucleus\downloads
\shareaza\downloads
\rapigator\share

8. Amennyiben talál a fenti kifejezéseknek megfelelő könyvtárat, akkor abba bemásolja magát az alábbi nevek valamelyikével:
winis.exe
win32exe.exe
wini.exe
winlogins.exe
muamgr.exe.