A Dutan.A féreg elsősorban az Excel táblázatkezelővel készített állományok tönkretételére törekszik.

A Dutan.A  féreg legtöbbször hálózati meghajtókon, vagy cserélhető adattároló eszközökön keresztül kerül rá a kiszemelt számítógépekre. Ezt követően létrehoz néhány fájlt, majd módosítja a regisztrációs adatbázist. A féreg minden elérhető hálózati és cserélhető meghajtóra felmásol két fájlt. Ezek közöl az egyik a kártevőt tartalmazza, míg a másik arról gondoskodik, hogy az adattárolók újbóli csatlakoztatásakor automatikusan betöltődhessen a féreg.

Excel fájlokra allergiás a Dutan féreg

A Dutan.A a fertőzött PC-ken minden elérhető .xls állományt felkutat, majd azokhoz egy 2 KB-os, véletlenszerűen összeállított karaktersorozatot fűz hozzá. Ezzel használhatatlanná teheti az Excel állományokat.

Amikor a Dutan.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\winxpsp2.dll
    %System%\csrsss.exe
    %System%\svchosts.exe
  2. Minden hálózati és cserélhető meghajtó gyökér könyvtárába bemásolja az alábbi két állományt:
    svchosts.exe
    autorun.inf
  3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    “Microsoft OfficeTool” = “svchosts.exe”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    \MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
    = “Drive”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    \MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
    = “Drive”

4. .xls kiterjesztésű fájlokat keres, melyekhez egy 2 KB-os, véletlenszerűen összeállított karaktersorozatot fűz hozzá.