Az Annew.A féreg meglehetősen sok módosítást végez a kiszemelt számítógépeken, majd megpróbálja megbénítani a Windows egyes szolgáltatásait, illetve alkalmazásait.
Az Annew.A féreg elsősorban cserélhető adathordozók révén terjed. A féreg ezeken egy olyan állományt is létrehoz, amelynek révén az adathordozó csatlakoztatásakor automatikusan elindul. Amint ez megtörténik, akkor számos fájlt létrehoz a rendszermeghajtón, majd módosítja a regisztrációs adatbázist. Ezzel többek között kikapcsolja a Windows rendszervisszaállító funkcióját.
A féreg ezt követően elkezd “látványos” műveleteket végezni. Így például hamis hibaüzenetet jelenít meg, majd megváltoztatja az ablakok címsorában szereplő szövegeket, valamint alkalmazásokhoz tartozó folyamatokat állít le.
Amikor az Annew féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Quick Launch.exe
%CommonProgramFiles%\default.exe
%System%\msnmsgr.exe
%Windir%\msdos.pif
%SystemDrive%\[fájl név].exe
2. %SystemDrive%\[fájl név].exe állományt annyiszor másolja le más-más néven, ahányszor a féreg elindul.
3. A cserélhető lemezeken létrehoz egy autorun.inf fájlt, amely biztosítja, hogy az adathordozó számítógépekhez való csatlakoztatásakor a féreg automatikusan elinduljon.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe %windir%\msdos.pif”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”MsnMsgr” = “%System%\msnmsgr.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”MsnMsgr” = “C:\WINDOWS\system32\msnmsgr.exe”
5. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableCMD” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableTaskMgr” = “1”
6. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore”DisableSR” = “1”
Ezzel kikapcsolja a Windows System Restore funkcióját.
7. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”Norun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoSetFolders” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoLogoff” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HideFileExt” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
8. Megjelenít egy hibaüzenetet “Application Error” címsorral, és “0xFFFFFFFF” üzenettel.
9. Minden ablak címsorába elhelyezi a következő szöveget:
[^_^Anti Antivirus^_^]
10. Leállítja azokat a folyamatokat, amelyek nevében szerepelnek az alábbi szavak:
cmd
mconfig
task
Proc
Hex
Spy.