Awax

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. A Windows System könyvtárába létrehoz egy véletlenszerűen összeállított fájlnévvel és .dll kiterjesztéssel ellátott állományt.

2. Létrehoz két mutexet annak érdekében , hogy egyszerre csak egy példányba fusson a rendszerben.

3.Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\Notify\[TROJAN FILE NAME]

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks
kulcsához hozzáadja a
""{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}"" = """" értéket.

5. Leállítja a következő folyamatot (amennyiben az fut):
GCASSERVALERT.EXE

5. Megpróbálja megfertőzni az AD-AWARE.EXE folyamatot.

6. Előre meghatározott weboldalakról különböző konfigurációs információkat tölt le.

7. Egyes esetekben fájlokat tölt le az Internetről, majd azokat lefuttatja.