Червь, создающий свои копии на локальных дисках и доступных для записи сьемных носителях.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный и корневой каталоги Windows:
%WinDir%\RVHOST.exe %System%\RVHOST.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe RVHOST.exe"
Распространение
Червь копирует свой исполняемый файл в корень доступных для записи съемных дисков под следующим именем:
New Folder.exe
Также червь рекурсивно копирует свой исполняемый файл во все папки на съемных дисках. Файлы-копии червя имеют имена, соответствующие именам папок, в которых они находятся, и расширение «.exe».
Деструктивная активность
Червь создает следующие параметры в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] DisableRegistryTools = 1 DisableTaskMgr = 1
Таким образом он блокирует запуск редактора реестра и «Диспетчера задач».
Также червь завершает процессы некоторых антивирусных программ и сетевых экранов.