Копирует себя в %userprofile%\Templates под именем memory.tmp
Убирает параметр DisableSR ("HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore"), исключает возможность восстановления системы
Далее проверяет систему на установленные в ней антивирусы и завершает их работу
cmdagent.exe
fssm32.exe
fsorsp.exe
avp.exe
Внедряет в процесс iexplorer код, которые при первом запуска устанавливает ключ
"HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters" FirstRun=1,
создаёт в
%userprofile%\Local Settings\Application Data\
папку "Windows Server" и размещает в ней динамическую библиотеку со случайным именем.
Эту библиотеку прописывает как параметр в
"HKLM\system\currentcontrolset\control\session manager\appcertdlls\appcertdll" - что позволяет ей стартовать при запуске каждого процесса. Создаётся ключ реестра в разделе "HKLM\SOFTWARE" со случайным именем - где записывается как один из параметров исполняемый код. Библиотека при старте читает этот параметр, копирует данные к себе в память и передаёт управление на них.
Помимо использования ключа appcertdll дроппер может заражать winlogon.exe и explorer.exe для подгрузки библиотеки. Инфицированные таким образом файлы, Dr.Web определяет как Win32.Dat