Az Emsenush.A féreg elsősorban azonnali üzenetküldőkön keresztül próbál terjedni, és bosszantó műveleteket végrehajtani.

Az Emsenush.A féreg egy csrss.exe nevű fájlt hoz létre a Windows könyvtárába, majd a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ezt követően csatlakozik az Internethez, és egy olyan fájlt tölt le, amelynek segítéségével a saját kártékony állományát tudja frissíteni.

A Emsenush.A féreg a windowsos azonnali üzenetküldő szoftverek felderítésére is képes, amelyeket elindítva, különféle, előre meghatározott szövegeket kezd el küldözgetni azon felhasználóknak, akik a fertőzött számítógépen megtalálható partnerlistákban szerepelnek. A féreg az üzenetekbe egy kártékony weboldalra mutató hivatkozást is beilleszt.

zenget az Emsenush féreg

Amikor az Emsenush.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt:
    %Windir%\csrss.exe
  2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”csrss”
    = “%Windir%\csrss.exe”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MSM
    SGS” = “[elérési útvonal] /background”
  3. Amennyiben talál létező Internet kapcsolatot, akkor letölt egy frissítést a saját állományához.
  4. Keres egy windowsos azonnali üzenetküldő klienst, majd elindítja azt.
  5. Az üzenetküldőn keresztül a partnerlistákban szereplő felhasználóknak elküldi az alábbi szöveget:
    it watches this animation of bush 😛
    mira esta animacion de bush 😛
    Az üzenetbe egy kártékony weboldalra mutató hivatkozást is beilleszt