Anur.A

Az Anur.A féreg elsősorban hálózati és cserélhető meghajtókon próbál rákerülni a kiszemelt rendszerekre.

Az Anur.A legfontosabb és egyben legtöbb kockázatot rejtőtulajdonsága, hogy a fertőzött rendszereken található inf kiterjesztésű állományokat megsemmisíti. Hasonlóan jár el a windows System könyvtárában található, vbs kiterjesztéssel rendelkező fájlok esetében is.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\killVBS.vbs

2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = "%System%\userinit.exe, %System%\wscript.exe %System%\killVBS.vbs"

3. Minden cserélhető meghajtó gyökér könyvtárába bemásolja a következő két állományt:
killVBS.vbs
autorun.inf

4. Megvizsgálja, hogy elérhető-e az A: meghajtó.

5. Módosítja az Internet Explorer kezdőlapját valamint a címsorát.

8. A regisztrációs adatbázisból kitörli az alábbi kulcshoz tartozó értékeket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL

9. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = ""
HKCU\Software\Microsoft\Internet Explorer\Main\Window Title = ""
HKCR\vbsfile\DefaultIcon = "%Windows%\System32\WScript.exe,2"

10. Minden helyi meghajtón megkeresi az inf kiterjesztéssel rendelkező állományokat, majd letörli azokat.

11. A Windows System könyvtárából minden vbs kiterjesztésű fájlt kitöröl, kivétel a saját, killVBS.vbs nevű állományát.