A cserélhető meghajtókon keresztül terjedő Tufik.E vírus minden elérhető exe kiterjesztésű fájlt megfertőz.
A Tufik.E vírus számos fájlt hoz létre a Windows különféle rendszerkönyvtáraiban. Ezek többségét véletlenszerű névvel látja el. A vírus a regisztrációs adatbázis módosítását és egy windowsos szolgáltatás létrehozását követően webes állományokat kezd el keresgélni, amelyekhez egy IFRAME kódot fűz hozzá.
A Tufik.E a fertőzött számítógépeken elérhető cserélhető meghajtók gyökér könyvtárába bemásolja a saját állományait, majd minden számára írható, .exe kiterjesztésű fájlt megfertőz. Ezt követően az Interneten keresztül egy további fájlt is letölt.
Amikor a Tufik.E vírus elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\mscrss.exe
%System%\mscrss.dll
%System%\[véletlenszerű karakterek].tmp
%Windir%\Temp\[véletlenszerű karakterek].tmp
%Windir%\Temp\[véletlenszerű karakterek].tmp_TMP.exe
%Temp%\[véletlenszerű karakterek].tmp
%Temp%\[véletlenszerű karakterek].tmp_TMP.exe - Létrehoz egy “Windows WorkStation” nevű windowsos szolgáltatást.
- A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stat
s\{C1498DA0-135E-46EA-B01B-86042A31ED82}
/>HKEY_CURRENT_USER\TypeLib\{C1498DB2-135E-46EA-B01B-86042A31ED82}
HKEY_CURRENT_USER\Interface\{C1498DBF-135E-46EA-B01B-86042A31ED82} HKEY_CURRENT_USER\IEFalgObj.IEFalgObj
HKEY_CURRENT_USER\IEFalgObj.IEFalgObj.1
HKCR\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82
HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Ext\St
ats\{C1498DA0-135E-46EA-B01B-86042A31ED82} - Az összes elérhető meghajtón megkeresi az alábbi kiterjesztésekkel rendelkező fájlokat:
.cgi
.php
.jsp
.asp
.html
.htm - A fenti állományokhoz hozzáfűz egy IFRAME kódot.
- Minden írható meghajtó gyökér könyvtárába bemásolja az alább állományokat:
Config.Msi\mscrss.exe
Config.Msi\[eredeti fájlnév]
AutoRun.inf - Minden .exe kiterjesztésű fájlt megfertőz.
- Interneten keresztül letölt egy állományt.