Szkodnik działa na wszystkich systemach Windows. Rozprzestrzeniać się może z dysków wymiennych.
Po uruchomieniu kopiuje siebie do plików
Kod: Zaznacz cały
%SystemDrive%\[CURRENT USER].exe
%UserProfile%\igfxhost.exeNa dyskach przenośnych tworzy pliki
Kod: Zaznacz cały
%DriveLetter%\Image.exe
%DriveLetter%\Movie.exe
%DriveLetter%\[CURRENT USER].exe
Do rejestru dodaje informacje
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"igfxhost" = "%UserProfile%\igfxhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"LastIndex" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
Następnie modyfikuje pliki
Kod: Zaznacz cały
docx
doc
xls
xlsx
pptx
ppt
mdb
mdf
accdb
jpg
jpeg
zip
rar
pdf
pst
psd
cdr
avi
mkv
mp4
mov
vob
mp3
iso
nrg
flv
swfW rejestrze wirus zmienia
Kod: Zaznacz cały
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\"Start" = "4"
Wyłącza też przywracanie systemu.
. AVG i Avira Go przepuszcza na razie.