Auraax

Az Auraax féreg a legtöbb esetben különböző cserélhető meghajtókon keresztül kerül rá a számítógépekre. Az Auraax távoli szerverekhez csatlakozik, amelyekről különféle parancsokat tartalmazó fájlokat tölt le. Ezek mellett olyan állományokat is beszerez, amelyek biztonsági szoftvereknek álcázott kártékony programokat tartalmaznak.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Temp%\LOAD1.EXE
%Program Files%\WUAUCLT.EXE

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\Debugger = "%Program Files%\Microsoft Common\wuauclt.exe"
vagy
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "%Program Files%\Microsoft Common\wuauclt.exe"

3. Megfertőzi az SVCHOST.EXE és az EXPLORER.EXE folyamatokat. Ha ez nem sikerül számára, akkor módosítja a regisztrációs adatbázis következő kulcsában szereplő értékeket:
HKCR\http\shell\open\command

4. A Windows System könyvtárába bemásol egy .SYS kiterjesztésű állományt, amely egy rootkit komponenst tartalmaz.

5. Minden cserélhető meghajtó gyökér könyvtárába bemásol egy WUAUCLT.EXE vagy egy SYSTEM.EXE nevű fájlt, valamint egy AUTORUN.INF nevű állományt.

6. A regisztrációs adatbázisban létrehozza a következő értéket:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%Program Files%\Microsoft Common\wuauclt.exe = "%Program Files%\Microsoft Common\wuauclt.exe:*:Enabled:EMOTIONS_EXECUTABLE"

7. Interneten keresztül kártékony fájlokat tölt le.