Worm.VBS.VirusProtection

При подключении съемного диска к зараженному компьютеру, червь проверяет наличие файла «autorun.inf», и если такой файл существует, то червь удаляет его, а вместо удаленного файла создает свой.

Затем, используя инструментарий WMI (Windows Management Instrumentation), червь каждые 3 секунды проверяет наличие в системе нового логического диска. Если к системе подключается съемный носитель или сетевой диск — червь создает в корневом каталоге дисков файл автозагрузки «autorun.inf» со следующими строками: