Excel fájlokra allergiás a Dutan féreg

A Dutan.A féreg elsősorban az Excel táblázatkezelővel készített állományok tönkretételére törekszik.

A Dutan.A  féreg legtöbbször hálózati meghajtókon, vagy cserélhető adattároló eszközökön keresztül kerül rá a kiszemelt számítógépekre. Ezt követően létrehoz néhány fájlt, majd módosítja a regisztrációs adatbázist. A féreg minden elérhető hálózati és cserélhető meghajtóra felmásol két fájlt. Ezek közöl az egyik a kártevőt tartalmazza, míg a másik arról gondoskodik, hogy az adattárolók újbóli csatlakoztatásakor automatikusan betöltődhessen a féreg.

A Dutan.A a fertőzött PC-ken minden elérhető .xls állományt felkutat, majd azokhoz egy 2 KB-os, véletlenszerűen összeállított karaktersorozatot fűz hozzá. Ezzel használhatatlanná teheti az Excel állományokat.

Amikor a Dutan.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\winxpsp2.dll
   %System%\csrsss.exe
   %System%\svchosts.exe
2. Minden hálózati és cserélhető meghajtó gyökér könyvtárába bemásolja az alábbi két állományt:
   svchosts.exe
   autorun.inf
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   “Microsoft OfficeTool” = “svchosts.exe”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
   \MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
   = “Drive”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
   \MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
   = “Drive”

4. .xls kiterjesztésű fájlokat keres, melyekhez egy 2 KB-os, véletlenszerűen összeállított karaktersorozatot fűz hozzá.