Worm.VBS.Dinihou

Вредоносный объект копирует свой исполняемый файл в папки «%APPDATA%» или «%TEMP%» и «%STARTUP%» и модифицирует ключи реестра для автоматического запуска при загрузке операционной системы. При обнаружении сменного носителя информации вредоносный объект копирует свой исполняемый файл в корень файловой системы обнаруженного сменного носителя, например, диска. Вновь созданному вредоносному файлу и всем файлам и папкам в корне диска Worm.VBS.Dinihou приписывает свойства «скрытый», «системный». Также для всех файлов и папок в корне диска вредоносный объект создает «ярлыки» (файлы с расширением lnk), которые видит пользователь вместо этих файлов и папок. Когда пользователь пытается открыть такой «файл» или «папку», происходит запуск вредоносного объекта.

В процессе функционирования вредоносный объект взаимодействует с сервером управления по протоколу HTTP. Для информирования сервера управления о готовности принять команду вредоносный объект осуществляет отправку HTTP-POST запроса на его относительный веб-адрес «/is-ready». В ответ на запрос вредоносный объект получает от сервера управления идентификатор команды и опциональный список параметров к ней.