A Hannuch.A féreg a Windows egyes beállításainak módosítását követően pendrive-okon próbál terjedni.
A Hannuch.A féreg egy copy.exe nevű állomány formájában terjed, elsősorban cserélhető meghajtókon keresztül. Amint rákerül egy számítógépre, akkor azon létrehoz egy fájlt a Windows egyik rendszerkönyvtárába, majd gondoskodik arról, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.
A Hannuch.A a regisztrációs adatbázisban több módosítást is végez. Egyrészt a Windows 2000 esetében lehetetlenné teszi az operációs rendszerből történő szabályos, felhasználói kijelentkezéseket. Emellett eltünteti a Sajátgépből a “Mappa beállításokat”, és ezáltal próbálja megnehezíteni eltávolítását. A féreg ugyanis a saját állományát rejtett attribútummal látja el, és ezzel az egyszerű trükkel próbál láthatatlan maradni.
Amikor a Hannuch.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Megnyitja a Windows Intézőjét, és létrehozza a következő fájlt:
%System%\vhchosts.exe - A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\systray = “vhchosts.exe”
HKCU\Software\chunhan\\\gay = “[az aktuális nap a hónapban]” - Cserélhető meghajtókon keresztül terjed. Ezekre rámásol egy copy.exe és egy autorun.inf nevű állományt.
- A regisztrációs adatbázis módosításával letiltja a “kijelentkezés” opciót a Windowsban:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoLogoff = “00000001”
Ez a változtatás csak a Windows 2000 operációs rendszer esetében hatásos. - Az alábbiak szerint módosítja a regisztrációs adatbázist:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoFolderOptions = “00000001” - A saját állományát rejtett attribútummal látja el.