Worm.Win32.Busan
Po uruchomieniu robak wysy艂a do swojego tw贸rcy wiadomo艣膰 przy u偶yciu komunikatora ICQ, a nast臋pnie kopiuje si臋 do folderu Windows z nazw膮 files32.sys i zapisuje program przechwytuj膮cy znaki wprowadzane z klawiatury - mh32.dll.
Po wykonaniu tych czynno艣ci szkodnik podejmuje pr贸b臋 umieszczenia swojej kopii auto.exe w nast臋puj膮cym folderze:
C:WINDOWSAll UsersStart MenuProgram FilesStartUp
jednak z powodu b艂臋d贸w w jego kodzie operacja ta nie jest poprawnie realizowana. Kolejnym krokiem szkodnika jest umieszczanie swoich kopii na wszystkich, dost臋pnych zasobach sieciowych.
Nast臋pnie robak tworzy w rejestrze klucz auto-run:
@="files32.sys "%1" %*"
W rezultacie uruchomienie jakiegokolwiek pliku EXE spowoduje aktywacj臋 robaka.
Po uruchomieniu robak gromadzi wszystkie, dost臋pne nazwy i has艂a skrzynek pocztowych zarejestrowanych w systemie, po czym zapisuje je w pliku C:WINDOWSlmhost.log i wysy艂a go do swojego tw贸rcy. W tym samym pliku zapisywane s膮 informacje przechwytywane przez wirusa z klawiatury zainfekowanego komputera.