Annew.A

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Quick Launch.exe
%CommonProgramFiles%\default.exe
%System%\msnmsgr.exe
%Windir%\msdos.pif
%SystemDrive%\[fájl név].exe

2. %SystemDrive%\[fájl név].exe állományt annyiszor másolja le más-más néven, ahányszor a féreg elindul.

3. A cserélhető lemezeken létrehoz egy autorun.inf fájlt, amely biztosítja, hogy az adathordozó számítógépekhez való csatlakoztatásakor a féreg automatikusan elinduljon.

4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\""Shell"" = ""Explorer.exe %windir%\msdos.pif""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\""MsnMsgr"" = ""%System%\msnmsgr.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\""MsnMsgr"" = ""C:\WINDOWS\system32\msnmsgr.exe""

5. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\""DisableRegistryTools"" = ""1""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\""DisableCMD"" = ""1""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\""DisableTaskMgr"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\""DisableRegistryTools"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\""DisableCMD"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\""DisableTaskMgr"" = ""1""

6. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\""DisableConfig"" = ""1""
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\""DisableSR"" = ""1""

Ezzel kikapcsolja a Windows System Restore funkcióját.

7. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\""NoFolderOptions"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\""Norun"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\""NoFind"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\""NoSetFolders"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\""NoLogoff"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""Hidden"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""Hidden"" = ""0""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""HideFileExt"" = ""0""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""HideFileExt"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""ShowSuperHidden"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\""ShowSuperHidden"" = ""0""

8. Megjelenít egy hibaüzenetet ""Application Error"" címsorral, és ""0xFFFFFFFF"" üzenettel.

9. Minden ablak címsorába elhelyezi a következő szöveget:
[^_^Anti Antivirus^_^]

10. Leállítja azokat a folyamatokat, amelyek nevében szerepelnek az alábbi szavak:
cmd
mconfig
task
Proc
Hex
Spy.