Amirecivel.H

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\AcroTray32.exe

2. Létrehoz egy ""AmirCivil"" nevű mutexet.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
""AmirCivil"" = %System%\AcroTray32.exe"" értéket.

4. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi saját magát.

A fertőzött emailek tárgya lehet:
irvirus
symantec
FBI
irvanvig
NOD32
IranSare2008
Announcement
password
simorgh-ev
Your IP was logged
Read it immediately!
Attention
E-mail account disabling warning
Returned Mail
Soccer funs in public place
IHS
IRNA
hello
ANTI VIRUS

5. Gyakran használt kiterjesztéssel rendelkező állományokat keres, és azok fájlnevével, valamint exe kiterjesztéssel elkezdi saját magát másolgatni.

6. A regisztrációs adatbázisból kitörli az alábbi kulcsot:
HKEY_CURRENT_USER\Printers

7. Biztonsági szoftverekhez tartozó folyamatokat állít le.

8. A hosts fájlhoz sorokat fűz hozzá, és ezzel a fertőzött számítógépekről elérhetetlenné teszi számos biztonsági cég weboldalát.

9. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton.