A Madag.A féreg a fertőzött számítógépeken található Word állományok megfertőzésével okoz károkat.

A Madag.A féreg legfontosabb feladata, hogy feltérképezze a fertőzött számítógépeken elérhető Word dokumentumokat. Ezt követően ezeket megfertőzi, majd a .doc kiterjesztést lecseréli .exe-re. A regisztrációs adatbázis módosításával gondoskodik arról, hogy a rejtett attribútummal rendelkező fájlokat a felhasználó ne láthassa a Sajátgépben vagy a Windows Intézőben. Ennek segítségével igyekszik elrejteni a saját állományait.

A féreg minden cserélhető meghajtó gyökér könyvtárába bemásol két fájlt, és arról is gondoskodik, hogy az adattárolók újbóli csatlakoztatásakor a kártevő automatikusan betöltődhessen. Ezt követően különféle biztonsági szoftvereket és windowsos alkalmazásokat állít le.

Word fájlokra éhes a Madag.A féreg

Amikor a Madag.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\export\services.exe
    %System%\\\ormal.dot
    c:\Windows\winsyst.exe
    c:\WINDOWS\winnt.exe
  2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    “thi/>s free” = “c:\Windows\winsyst.exe”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    “vbw />q cute” = “c:\WINDOWS\winnt.exe”
    HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\
    “Shell” = “Explorer.exe c:\WINDOWS\winnt.exe”
  3. A regisztrációs adatbázisban módosítja a következő értékeket:
    HKEY_LOCAL_MACHINESOFTWARE\CurrentControlSet\Control\SafeBoot\
    “Alte
    rnateShell” = “c:\WINDOWS\winsyst.exe”
    HKEY_CLASSES_ROOT\.inf”Default” = “txtfile”
    HKEY_CLASSES_ROOT\.reg”Default” = “txtfile”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer/>\Advanced”Hidden” = “2”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer/>\Advanced”HideFileExt” = “1”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer/>\Advanced”SuperHidden” = “1”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer/>\Advanced”ShowSuperHidden” = “0”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer/>\Advanced\Folder\SuperHidden”CheckedValue” = “0”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer/>\Advanced\Folder\SuperHidden”DefaultValue” = “0”
  4. Minden cserélhető meghajtó gyökér könyvtárába felmásol egy Thoojloi.exe és egy Autorun.inf nevű állományt.
  5. Minden .doc kiterjesztésű állományt megfertőz, majd azokat .exe kiterjesztésűvé nevezi át.
  6. Leállítja azokat az alkalmazásokat, amelyek ablakának címsorában a következő szavak valamelyike szerepel: .task, anti, application data, command prompt, compact, compiler, delphi, detect, hacker, hijack, killbox, movzx, process, registry, security, superdat, system32, vbde, virus, visual.