Amirecivel.E

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
C:\symantec.exe
D:\fun.pic.scr
E:\wow.pif
F:\mail.cmd
%System%\winlogon.cab.exe

2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
""SadNet"" = ""%System%\winlogon.cab.exe"" értéket.

3. A regisztrációs adatbázisban létrehozza a következő kulcsot:
HKEY_CURRENT_USER\SadNet

4. Bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba

5. A %Windir%\notepad.exe fájlt elmenti %System%\AmirCivil.exe néven.

6. A Windows könyvtárában lévő notepad.exe fájlt felülírja saját magával.

7. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi saját magát.

A fertőzött levelek tárgya lehet:
Account notify
do you know AmirCivil?
Document
E-mail account disabling warning
Email account utilization warning.
E-mail technical support message.
E-mail warning
Encrypted document
Fax Message
Fax Message Received
Forum notify
Incoming Message
mcafee
Message Notify
panda
Protected message
symantec
Text message
Thank you!
Yahoo!

A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
AmirCivil.pic.cmd
fullmessenger.exe
readme.html.cmd
register.pif
sexy-screensaver.scr

8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.