A Pintae.A féreg elektronikus leveleken és hálózati megosztásokon keresztül terjed. A legfőbb veszélye, hogy hatástalanítja a Windowson futó biztonsági alkalmazásokat.
A Pintae.A féreg számos fájl létrehozása után módosítja a regisztrációs adatbázist. Ezzel többek között elérhetetlenné teszi a Feladatkezelőt, és a regisztrációs adatbázis szerkesztőjét. Emellett megváltoztatja a Windows Intéző beálltásait.
A Pintae.A leállítja a különböző biztonsági szoftverekhez tartozó folyamatokat, és a Windows címjegyzékéből összegyűjtött email címekre továbbküldi saját magát. A féreg hálózati megosztásokon keresztül is megpróbál további számítógépeket megfertőzni.
A Pintae.A egy olyan fájlt is létrehoz, amelybe számos rendszerinformációt gyűjt össze. Így többek között eltárolja a számítógép nevét, a felhasználó adatait, a levelezési beállításokat valamint a fertőzés időpontját.
Amikor a Pintae.A féreg elindul, akkor az alábbi műveleteket hatja végre:
1. Létrehozza a következő fájlokat:
%UserProfile%\Start Menu\Programs\Startup\MSKernell.bat
%System%\AutoRun.bat
%Windir%\Exit to DosPrompt.pif
Readme.scr (a C és a D meghajtó gyökér könyvtárába)
info.txt (a C és a D meghajtó gyökér könyvtárába)
2. Az info.txt fájlba a következő információkat tölti be:
– felhasználónév
– számítógép neve
– POP3 szerver címe
– SMTP információk
– a fertőzés dátuma és időpontja
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“NOYPI_KANG_ASTIG” = “%Windows%\Exit to DosPrompt.pif”
“taetae” = “%Windows%\Exit to DosPrompt.pif” értékeket.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\RunServices
kulcsához hozzáadja a
“TANG_INA_MO” = “%System%\AutoRun.bat”
“taengtae” = “%System%\AutoRun.bat” értékeket.
5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System
kulcsában módosítja a
“DisableTaskMgr” = “1”
“DisableRegistryTools” = “1” értékeket.
6. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer
kulcsában módosítja a
“NoFolderOptions” = “1”
“NoFind” = “1” értékeket.
7. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
kulcsában módosítja a
“Restrictions NoFindFiles” = “1” értéket.
8. Összegyűjti a Windows címjegyzékéből az email címeket, majd továbbküldi ezekre saját magát.
A fertőzött levelek tárgya lehet:
CDO.Message
FILIPINO\\”S SECRETS
My Documents
New Virus Information
Philippines Government Top Secret
TaeTae Virus Information
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
DATA.DOC.exe
DOCUMENT.DOC.exe
INFO.DOC.exe
README.DOC.exe
TAETAE.TXT.exe
9. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.