A Madag.A féreg a fertőzött számítógépeken található Word állományok megfertőzésével okoz károkat.
A Madag.A féreg legfontosabb feladata, hogy feltérképezze a fertőzött számítógépeken elérhető Word dokumentumokat. Ezt követően ezeket megfertőzi, majd a .doc kiterjesztést lecseréli .exe-re. A regisztrációs adatbázis módosításával gondoskodik arról, hogy a rejtett attribútummal rendelkező fájlokat a felhasználó ne láthassa a Sajátgépben vagy a Windows Intézőben. Ennek segítségével igyekszik elrejteni a saját állományait.
A féreg minden cserélhető meghajtó gyökér könyvtárába bemásol két fájlt, és arról is gondoskodik, hogy az adattárolók újbóli csatlakoztatásakor a kártevő automatikusan betöltődhessen. Ezt követően különféle biztonsági szoftvereket és windowsos alkalmazásokat állít le.
Amikor a Madag.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\export\services.exe
%System%\\\ormal.dot
c:\Windows\winsyst.exe
c:\WINDOWS\winnt.exe - A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
“thi/>s free” = “c:\Windows\winsyst.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
“vbw />q cute” = “c:\WINDOWS\winnt.exe”
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\
“Shell” = “Explorer.exe c:\WINDOWS\winnt.exe” - A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWARE\CurrentControlSet\Control\SafeBoot\
“Alte
rnateShell” = “c:\WINDOWS\winsyst.exe”
HKEY_CLASSES_ROOT\.inf”Default” = “txtfile”
HKEY_CLASSES_ROOT\.reg”Default” = “txtfile”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer/>\Advanced”Hidden” = “2”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer/>\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer/>\Advanced”SuperHidden” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer/>\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer/>\Advanced\Folder\SuperHidden”CheckedValue” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer/>\Advanced\Folder\SuperHidden”DefaultValue” = “0” - Minden cserélhető meghajtó gyökér könyvtárába felmásol egy Thoojloi.exe és egy Autorun.inf nevű állományt.
- Minden .doc kiterjesztésű állományt megfertőz, majd azokat .exe kiterjesztésűvé nevezi át.
- Leállítja azokat az alkalmazásokat, amelyek ablakának címsorában a következő szavak valamelyike szerepel: .task, anti, application data, command prompt, compact, compiler, delphi, detect, hacker, hijack, killbox, movzx, process, registry, security, superdat, system32, vbde, virus, visual.