A Fubalca.E féreg elsősorban cserélhető adattárolókon keresztül terjed, és különböző kártékony kódokat tölt le az Interneten keresztül.
A Fubalca.E féreg a fertőzött számítógépeken az összes írható meghajtóra felmásolja saját magát. A kártevő arról is gondoskodik, hogy a cserélhető adattárolók esetében azok újbóli csatlakoztatásakor automatikusan elinduljon.
A Fubalca.E egy “WindowsDown” nevű szolgáltatást hoz létre, majd az svchost.exe állomány mögé próbál meg elrejtőzi. Ezt követően fájlokat tölt le előre meghatározott távoli szerverekről, amelyeket a Windows System könyvtárába ment el.
Amikor a Fubalca.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%System%\servet.exe
2. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoDriveTypeAutoRun” = “0”
3. Minden írható meghajtó gyökér könyvtárába létrehoz egy AutoRun.inf állományt
4. A rendszerdátumot 1981. január 12-ére állítja át, abban az esetben ha a %System%\drivers\klick.sys állomány létezik.
5. Létrehoz egy “WindowsDown” nevű szolgáltatást
6. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W indowsDown
7. A féreg %System%\svchost.exe állomány felhasználásával megpróbálja saját magát elrejteni.
8. Előre meghatározott szerverekről fájlokat tölt le, majd azokat elmenti a Windows System könyvtárába.