Az Emsenush.A féreg elsősorban azonnali üzenetküldőkön keresztül próbál terjedni, és bosszantó műveleteket végrehajtani.
Az Emsenush.A féreg egy csrss.exe nevű fájlt hoz létre a Windows könyvtárába, majd a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ezt követően csatlakozik az Internethez, és egy olyan fájlt tölt le, amelynek segítéségével a saját kártékony állományát tudja frissíteni.
A Emsenush.A féreg a windowsos azonnali üzenetküldő szoftverek felderítésére is képes, amelyeket elindítva, különféle, előre meghatározott szövegeket kezd el küldözgetni azon felhasználóknak, akik a fertőzött számítógépen megtalálható partnerlistákban szerepelnek. A féreg az üzenetekbe egy kártékony weboldalra mutató hivatkozást is beilleszt.
Amikor az Emsenush.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%Windir%\csrss.exe - A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”csrss”
= “%Windir%\csrss.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MSM
SGS” = “[elérési útvonal] /background” - Amennyiben talál létező Internet kapcsolatot, akkor letölt egy frissítést a saját állományához.
- Keres egy windowsos azonnali üzenetküldő klienst, majd elindítja azt.
- Az üzenetküldőn keresztül a partnerlistákban szereplő felhasználóknak elküldi az alábbi szöveget:
it watches this animation of bush 😛
mira esta animacion de bush 😛
Az üzenetbe egy kártékony weboldalra mutató hivatkozást is beilleszt