Azero.A

A vírus a regisztrációs adatbázisban rengeteg módosítást hajt végre. Ezek révén többek között azt is eléri, hogy a Windows csökkentett módban történő újraindulásakor is be tudjon töltődni.

A vírus legfőbb veszélye, hogy a Windows Program Files könyvtárában az összes, exe kiterjesztésű fájlt megfertőzi, és ezzel számos alkalmazást képes használhatatlanná tenni.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\Windows 3d.scr
%System%\commandprompt.sysm
%System%\desktop.sysm
%UserProfile%\application data\Microsoft\[véletlenszerű karakterek].exe
%System%\maxtrox.txt
%UserProfile%\Application Data\Microsoft\[véletlenszerű karakterek]

2. Számos könyvtárba bemásol egy desktop.ini nevű állományt.

3. Létrehozza a következő könyvtárakat:
%UserProfile%\applications data\excel
%UserProfile%\applications data\media player
%UserProfile%\applications data\Microsoft
%UserProfile%\applications data\office
%UserProfile%\applications data\Windows
%UserProfile%\applications data\word

4. A regisztrációsa adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"VisualStyle" = "%System%\desktop.sysm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\"AlternateShell" = "%System%\commandprompt.sysm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\"AlternateShell" = "%System%\commandprompt.sysm"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\"AlternateShell" = "%System%\commandprompt.sysm"

5. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate\"FullPathAddress"" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"checkedvalue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"defaultvalue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath\"defaultvalue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath\"uncheckedvalue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPathAddress\"defaultvalue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPathAddress\"uncheckedvalue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"checkedvalue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"defaultvalue" = "1"

6. A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sysm\" @" = "system mechanic"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sysm\defaulticon\"@" = "%System%\netsetup.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sysm\shell\open\command\"@" = "%1"

7. A Program Files könyvtárban minden exe kiterjesztésű fájlt megfertőz.