A Dutan.A féreg elsősorban az Excel táblázatkezelővel készített állományok tönkretételére törekszik.
A Dutan.A féreg legtöbbször hálózati meghajtókon, vagy cserélhető adattároló eszközökön keresztül kerül rá a kiszemelt számítógépekre. Ezt követően létrehoz néhány fájlt, majd módosítja a regisztrációs adatbázist. A féreg minden elérhető hálózati és cserélhető meghajtóra felmásol két fájlt. Ezek közöl az egyik a kártevőt tartalmazza, míg a másik arról gondoskodik, hogy az adattárolók újbóli csatlakoztatásakor automatikusan betöltődhessen a féreg.
A Dutan.A a fertőzött PC-ken minden elérhető .xls állományt felkutat, majd azokhoz egy 2 KB-os, véletlenszerűen összeállított karaktersorozatot fűz hozzá. Ezzel használhatatlanná teheti az Excel állományokat.
Amikor a Dutan.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\winxpsp2.dll
%System%\csrsss.exe
%System%\svchosts.exe - Minden hálózati és cserélhető meghajtó gyökér könyvtárába bemásolja az alábbi két állományt:
svchosts.exe
autorun.inf - A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“Microsoft OfficeTool” = “svchosts.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
= “Drive”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
= “Drive”
4. .xls kiterjesztésű fájlokat keres, melyekhez egy 2 KB-os, véletlenszerűen összeállított karaktersorozatot fűz hozzá.