Szkodnik działa na wszystkich systemach Windows. Rozprzestrzeniać się może z dysków wymiennych.
Po uruchomieniu kopiuje siebie do plików
Kod: Zaznacz cały
%SystemDrive%\[CURRENT USER].exe
%UserProfile%\igfxhost.exe
Na dyskach przenośnych tworzy pliki
Kod: Zaznacz cały
%DriveLetter%\Image.exe
%DriveLetter%\Movie.exe
%DriveLetter%\[CURRENT USER].exe
Do rejestru dodaje informacje
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"igfxhost" = "%UserProfile%\igfxhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"LastIndex" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
Następnie modyfikuje pliki
Kod: Zaznacz cały
docx
doc
xls
xlsx
pptx
ppt
mdb
mdf
accdb
jpg
jpeg
zip
rar
pdf
pst
psd
cdr
avi
mkv
mp4
mov
vob
mp3
iso
nrg
flv
swf
W rejestrze wirus zmienia
Kod: Zaznacz cały
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\"Start" = "4"
Wyłącza też przywracanie systemu.