Worm.VBS.Dinihou

El gusano copia su archivo ejecutable en una de las siguientes carpetas:% APPDATA%,% TEMP% o% STARTUP%. A continuación, modifica las claves de registro para que se inicie automáticamente cuando se inicia el sistema operativo. Cuando se detecta una unidad extraíble, el gusano copia su archivo ejecutable a la raíz del sistema de archivos en el disco. El archivo de malware ejecutable recién copiado, así como todos los archivos y carpetas en la raíz del disco, tienen asignados los atributos de Sistema y Oculto por Worm.VBS.Dinihou. Además, el gusano crea accesos directos (archivos con la extensión .lnk) para imitar todos los archivos y carpetas en la raíz del disco. El usuario ve estos accesos directos en lugar de las carpetas y archivos reales. Cuando el usuario intenta abrir uno de estos "archivos" o "carpetas", se inicia el gusano. El gusano se comunica con su servidor de comando y control a través de HTTP. Para informar al servidor que el gusano está listo para aceptar comandos, envía una consulta HTTP-POST a la URL relativa / is-ready. En respuesta, el servidor envía un ID de comando y una lista opcional de parámetros de comando.