Worm.VBS.Dinihou

Solucan, yürütülebilir dosyasını aşağıdaki klasörlerden birine kopyalar:% APPDATA%,% TEMP% veya% STARTUP%. Daha sonra, işletim sistemi başlatıldığında otomatik olarak başlatılacak şekilde kayıt defteri anahtarlarını değiştirir. Çıkarılabilir bir sürücü algılandığında, solucan yürütülebilir dosyasını diskteki dosya sisteminin köküne kopyalar. Yeni kopyalanan yürütülebilir kötü amaçlı yazılım dosyasının yanı sıra, diskin kökündeki tüm dosya ve klasörler, Worm.VBS.Dinihou tarafından Sistem ve Gizli özniteliklerine atanır. Ayrıca, solucan, diskin kökündeki tüm dosyaları ve klasörleri taklit etmek için kısayollar (.lnk uzantılı dosyalar) oluşturur. Kullanıcı bu klasörleri gerçek klasörler ve dosyalar yerine görür. Kullanıcı bu "dosyalardan" veya "klasörlerden" birini açmaya çalıştığında, solucan başlatılır. Solucan, komut ve kontrol sunucusu ile HTTP üzerinden iletişim kurar. Solucanın komutları kabul etmeye hazır olduğunu sunucuya bildirmek için, ilgili URL'ye / hazır durumuna bir HTTP-POST sorgusu gönderir. Yanıt olarak, sunucu bir komut kimliği ve isteğe bağlı komut parametreleri listesi gönderir.