Virus Üφ°φcφ se elektronickou poÜtou.

Posti₧en² e-mail lze poznat podle toho, ₧e odesφlatelem je security@microsoft.com, v p°edm∞tu zprßvy je text "Use this patch immediately !" v samotnΘm t∞le pak:
Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
V p°φloze se nachßzφ infikovan² soubor patch.exe, kter² nenφ vhodno spouÜt∞t :-)

V pr∙b∞hu svΘ Φinnosti (po spuÜt∞nφ p°φlohy) vytvß°φ na disku °adu soubor∙:

WINDOWS\dllreg.exe WINDOWS\SYSTEM32\load32.exe WINDOWS\SYSTEM32\vxdmgr32.exe WINDOWS\windrv.exe WINDOWS\winload.log

V zßvislosti na verzi Windows nemusφ jφt p°φmo o adresß° SYSTEM32, ale jen SYSTEM. PodobnΘ odliÜnosti jsou i v nßsledujφcφ Φßsti popisu.

U Windows 9x/ME se virus zapφÜe do souboru WINDOWS\WIN.INI a to p°esn∞ji do sekce [WINDOWS], RUN=, kam p°idß odkaz na soubor dllreg.exe.

Podobnß situace je i u souboru WINDOWS\SYSTEM.INI. Sekce [BOOT], °ßdek SHELL=, odkud volß soubor vxdmgr32.exe.

Klasikou je vyu₧itφ klφΦe registr∙ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run odkud je volßn soubor load32.exe.

Jedno·Φelov² antivirus:

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME: