نوع : کرم اینترنتی
اندازه : متغیر
محيطهاي قابل اجرا : Windows 2000,XP,NT,....

خصوصيات :

در مسیر System32 خود را با نام explorer.exe ایجاد می کند

کلید های رجیستری زیر را که توسط ویروس W22/Torojan.dv یا soundmix.exe تخریب شده است را اصلاح می کند
کلید زیر را تغییر می دهد

HKCR\SOFTWARE\Classes\exefile\shell\open\command
@="%1" %*
 

در صورتی که در کلید زیر مقدار Soundmix وجود داشت ﺁن را پاک می کند

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 

فایلهای زیر در مسیر windows ایجاد می کند

information.scr
information.jpg
 

فایل Explorer.EXE و LINK.EXE زیر در مسیرSystem32 به شکل مخفی ایجاد می کند

کلید زیر را ایجاد می کند :

HKLM\SOFTWARE\M icrosoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe "%WINDIR%\system32\LINK.exe"
 

فایل زیر را ایجاد می کند .

%USERDocument %\Local Setti ngs\Application Data\Microsoft\Wallpaper1.bmp
 

در هر مسیری که وارد ﺁن شویم یک فایل اجرایی با نام ﺁن مسیر ایجاد کرده و ﺁن مسیر را به حالت مخفی در می ﺁور د با این کار برای وارد شدن به ﺁن مسیر ویروس اجرا شده و ویروس ما را به ﺁن مسیر هدایت می کند که باز شود

خودش را با نام autorune.exe در درون پوشه RECYCLER درون همه درایوها ایجاد می کند

در ریشه همه درایو ها فایلی به نام Autorun.inf ایجاد کرده ،که با این کار بعد از کلیک کردن روی هر درایو باعث اجرا شدن ویروس می شود. نوع Autorun این ویروس به گونه ای است که در صورت پاک شدن ویروس و باقی ماندن فایل Autorun.inf با کلیک کردن روی هر درایو پنجره Open With باز می شود و با راست کلیک کردن نیز نمی توان وارد درایو شد و باید حتما این فایل (Autorun.inf) پاک شود برای این کار می توانید از ابزار زیر استفاده کنید.

www.imenantivirus.com/NoAutorun.zip
 

۹- کلید های زیر در رجیستری ایجاد می کند

HKCU\Control Panel\Desktop
OriginalWallpaper =%USERDocument%\Local Settings\Appl ication Data\Microsoft\Wallpaper۱.bmp
SCRNSAVE.EXE = %WINDIR%\information.scr
Wallpaper = %WINDIR%\information.jpg
ConvertedWallpaper = %WINDIR%\information.jpg
 

با این کار درون صفحه اصلی ویندوز عکس زیر را به نمایش در می‌آورد