Virus.Win32.Nakuru

При запуске службы вируса происходит создание потока с наименьшим приоритетом (для сокрытия вредоносной активности), в котором и выполняются деструктивные действия. Для всех логических дисков, начиная с логического диска C, выполняется проверка типа диска. Для не виртуальных дисков производится рекурсивный поиск всех файлов, начиная с корневого каталога этого диска. При совпадении файлового расширения со следующими расширениями из списка:

.DOC



.XLS 

и если этот диск является сменным носителем, выполняется создание файла с именем найденного файла и расширением «.EXE». Этот файл содержит вредоносный код, извлекаемый из тела вируса, сам найденный файл, а также иконку, соответствующую файловому типу найденного файла. После этого оригинальный найденный файл удаляется. Если файловое расширение совпало с одним из следующих:

.MDF



.LDF



.DBF



.BAK

и имя файла не соответсвует именам из списка:

distmdl.ldf



distmdl.mdf



master.mdf



mastlog.ldf



model.mdf



modellog.ldf



msdbdata.mdf



msdblog.ldf



mssqlsystemresource.ldf



mssqlsystemresource.mdf



northwnd.ldf



northwnd.mdf



pubs.mdf



pubs_log.ldf



tempdb.mdf



templog.ldf

то выполняется порча этого файла. Если размер такого файла меньше или равен 16384 байтам, то происходит полная перезапись этого файла случайными данными, иначе перезаписывается первые 8192 байта файла, в конец файла дописывается 8192 нулевых и 8192 байта случайных данных. Индикацию заражаемых дисков выполняют файлы с расширением «.tmp», расположенные во временном каталоге Windows, имена которых состоят из строки «Uninstall» и именем логического диска, например:

%Temp%Uninstall%DriveLetter%.tmp