Anpes

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába 33.exe néven.

2. Megpróbálja létrehozni az alábbi fájlokat:
%Windir%\vtemp.dll
%Windir%\vtemp.vbs
%Windir%\winsnav.vbs
%Windir%\win32sp.vbs

3. A létrehozza a %System%\ntdll.dll.vbs fájlt.

4. Az aktuális könyvtárba készít egy Win32i.bat állományt.

5. A regisztrációs adatbázis
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
kulcsához hozzáadja a
""Start Page"" = ""[startnow.com]"" értéket.
Ezzel módosítja az Internet Explorer kezdőoldalát.

6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
""winXP"" = ""%System""\33.exe/background""
""windef"" = ""Win32sp.vbs -quiet""
""NAV Agent"" = ""%Windir%\winsnav.vbs"" értékeket.

7. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce
kulcsához hozzáadja a
""chkdsk"" = ""c:\autoexec.bat"" értéket.

8. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Winlogon
kulcsához hozzáadja a
""LegalNoticeCaption"" = ""windows????""
""LegalNoticeText"" = ""windows??????,????0x6c5fb2???read, ????????????????[035]""
értékeket.

9. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Restrictions
kulcsához hozzáadja a
""NoBrowserContextMenu"" = ""1""
""NoBrowserOptions"" = ""1""
""NoBrowserSaveAs"" = ""1""
""NoFileOpen"" = ""1""
""NoViewSource"" = ""1"" értékeket.

10. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer
kulcsához hozzáadja a
""NoRun"" = ""1""
""NoClose"" = ""1""
""NoViewContextMenu"" = ""1""
""NoFileMenu"" = ""1"" értékeket.

11. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Symantec\Norton Antivirus\FirstRun
kulcsához hozzáadja a
""Default"" = ""0"" értéket.

12. Létrehoz egy ""allen"" nevű felhasználói fiókot, és ezt hozzáadja a ""rendszergazda"" csoporthoz.

13. A c:\autoexec.bat fájlhoz hozzáadja a következő sorokat:
""@echo off""
""@CHKDSK""
""@shutdown -s -t 300"".

14. Összegyűjti a számítógépen található email címeket, és a Microsoft Outlook szoftver segítségével ezekre továbbküldi magát. A fertőzött levelek mellékletében vagy egy crackcode.rar.vbs vagy egy FreeMail.RAR.vbs fájl szerepel.