Amend.A

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\msconfig.exe
%System%\regedit.exe
%System%\regedit32.com
%Windir%\Temp\internat.exe
%Windir%\Web\kav.exe
%Windir%\log.ini
%Windir%\system\[RANDOM NAME].com
%Windir%\web\[RANDOM NAME].com
%Windir%\fonts\[RANDOM NAME].com
%Windir%\temp\[RANDOM NAME].com
%Windir%\help\[RANDOM NAME].com
%Windir%\system\internat.exe
%Windir%\web\internat.exe
%Windir%\fonts\internat.exe
%Windir%\temp\internat.exe
%Windir%\help\internat.exe
%Windir%\system\kav.exe
%Windir%\web\kav.exe
%Windir%\fonts\kav.exe
%Windir%\temp\kav.exe
%Windir%\help\kav.exe

2. Minden elérhető könyvtárba létrehoz magából egy másolatot. A fájlok nevének az aktuális könyvtár nevét választja, és az állományokat exe kiterjesztéssel látja el.

3. A cserélhető meghajtók gyökér könyvtárába létrehoz egy Comand.com és egy AUTORUN.INF fájlt.

4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\""Userinit"" = ""%System%\userinit.exe,regedit32.com""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\""intt"" = ""%Windir%\[FOLDER]\[RANDOM NAME].com""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\""AutoShareServer"" = ""1""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\""AutoShareWks"" = ""1""

5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""Hidden"" = ""0""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""HideFileExt"" = ""1""

6. Megpróbál emailek révén terjedni.

A fertőzött levelek tárgya lehet:
I love lhw
My name is lhw

A fertőzött levelek mellékletéhez tartozó fájl neve az alábbiak egyike lehet:
Document.Doc (30.5K)[86 space].com
Microsoft Visual Studio_BuG.ZIP (30.5K)[86 space].com
The best important mend of Microsoft (30.5K)[86 space].com.