Když červ spustí, zkopíruje se na následujících místech:
- % System% \ systemio.exe
- SystemDrive%% \ Mixa_I.exe
- % Windir% \ Mixa.exe
Vytváří také následující soubory:
- % System% \ mui \ 0416 \ log.wma
- % System% \ restart.scf
Dále červ vytvoří následující položku registru tak, že spustí vždy, když se spustí systém Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Virus" = "% Windir% \ Mixa.exe" Mění také následující položky registru, takže že se provádí vždy, když se spustí systém Windows: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% System% \ systemio.exe" Červ pak upravuje následující položky registru změnit nastavení programu Průzkumník Windows:
- = "0"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "WebView" = "1"
Dále červ pokouší šířit tím, že vytvoří následující soubor na všech mapovaných pohony:
DriveLetter%% \ Mixa_I.exe Červ vytváří následující soubor na všech vyměnitelných převodovky: DriveLetter%% \ mixa_i.exe Poté vytvoří následující soubory tak, že se provádí vždy, když jsou dostupné pohony:
- DriveLetter%% \ autorun.inf
- SystemDrive%% \ Autorun.inf
Žádné komentáře:
Okomentovat