Trojan-Dropper.Win32.VB.me поставя различни свои копия в директорията за даунлоуд на Peer-to-Peer приложенията

Поведението на злонамерената програма първоначално въвлича потребителите на peer-to-peer (P2P) приложенията.

Тя проверява за наличието на следните P2P конфигурационни файлове и конфигурационни записи в регистъра, за да разбере името на директорията, където се съхраняват свалените файлове:

%appdata%\LimeWire\.limewire.props
%appdata%\morpheus\morphconfig.ini
%appdata%\morpheus ultra\morphconfig.ini
%programfiles%\BearShare\FreePeers.ini


След това търси следните изпълними файлове на P2P приложенията и ги стартира:

%programfiles%\limewire\limewire.exe
%programfiles%\shareaza\shareaza.exe
%programfiles%\bearshare\bearshare.exe
%programfiles%\morpheus\morpheus.exe
%programfiles%\morpheus ultra\morpheus.exe


Той проверява директорията за записване на свалените файлове само на LimeWire. Проверката за тази директория на програмите BearShare, Morpheus, Morpheus Ultra и Shareaza се прави след като някои от следните изпълними файлове: bearshare.exe, morpheus.exe или shareaza.exe са стартирани като процеси.

Той създава скрита директория с име "_" , където се намира директорията за записване по подразбиране.

За да продължи своето действие, той първо проверява дали е стартиран %alluserstartup%\wmplayer.exe.

Ако не е той показва следното съобщение и излиза:

"Windows Media Player"
"Media player cannot play file codec is missing"

Ако е, той проверява за наличието на някои от следните файлове в системната директория:

winlog.exe
p2pnetworking.exe
scvhost.exe
winlogi.exe
p2pnetwork.exe csrrs.exe


Ако тези файлове не бъдат намерени той поставя и стартира файла %windows%\b.exe.

Той заключва следните системни инструменти, за да предотврати лесното премахване на злонамерената програма:

%system%\cmd.exe
%system%\netstat.exe
%system%\tracert.exe
%system%\ping.exe
%system%\ipconfig.exe
%system%\taskkill.exe
%system%\regedt32.exe
%system%\taskmgr.exe
%windows%\regedit.exe


При опит да се стартират споменатите приложения се показва съобщението:

[име на приложението]
"Another program is currently using this file"

След това той поставя свое копие под името "yesyesyesyes.exe" в записаната директория вътре в създадената вече папка "_".

Той сваля страницата:

http://www.mp3000.net[премахнато]ads/page[rпроизволни номера]-mp3.php

Той прехвърля файловете, за да вземе заглавия на филми и музика. Тези имена той използва след това при създаването на свое копие в директориите за записване.