Ascesso

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. A regisztrációs adatbázis HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services kulcsának áttanulmányozásával feltérképezi a Windows szolgáltatásait. Ezek közül olyat választ ki, amely az operáció rendszer indulásakor automatikusan betöltődik, és a fertőzés időpontjában aktív.

2. A kiválasztott szolgáltatáshoz tartozó fájlokat elmenti, majd az eredeti állományokat megfertőzi. Ezt követően újraindítja a szolgáltatást. Majd helyreállítja az eredeti fájlokat, hogy észrevétlen tudjon maradni.

3. Létrehozza az alábbi fájlt:
%System%\drivers\asc3550[véletlenszerű karakterek].sys

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\""ErrorControl"" = ""0x0""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\""Start"" = ""0x2""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\""Tag"" = ""0x55""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\""Type"" = ""0x1""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\""Group"" = ""SCSI miniport""

5. Rootkit technikák révén elrejti saját magát.

6. Letörli az alábbi állományt:
%System%\drivers\asc3550[véletlenszerű karakterek].sys

7. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\""PendingFileRenameOperations"" = ""%SystemRoot%smsys.dat %SystemRoot%System32\drivers\asc3550[véletlenszerű karakterek].sys""
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\WinSetup
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\WinOpts

8. Megfertőzi a SERVICES.EXE folyamatot.

9. Interneten keresztül egy fájlt tölt le, majd futtatja azt.

10. Kártékony fájlt másol be az alábbi fájlcserélők megosztott könyvtáraiba:
Kazaa
iMesh
Morpheus.