A Validin legfõbb veszélye, hogy a
számítógépeken olyan állományokat fertõz meg,
amelyek gyakran használatosak, és nem keltenek
gyanút. Így például a féreg a html, jsp, asp,
aspx, php és xml kiterjesztésû állományokra is
veszélyt jelent. Ezek mellett a Ghost fájlok
megfertõzésére is alkalmas.
Amikor a Validin féreg elindul, az alábbi
mûveleteket hajtja végre:
1. Létrehozza a következõ fájlokat:
%Windir%\Invalid.exe
%System%\drivers\Invalid.exe
2. Letörli a %System%\Invalid.dll állományt.
3. A cserélhetõ adattárolókra felmásol egy
RECYCLER.exe valamint egy Autorun.inf fájlt.
4. A regisztrációs adatbázisban létrehozza a
következõ bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV
ersion\policies\Explorer\Run\"WinFile" = "%System%\drivers\Invalid.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV
ersion\Policies\Explorer\Run\"DataAccess" = "%Windir%\Invalid.exe"
5. A regisztrációs adatbázisban módosítja az
alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe
rsion\Policies\Explorer\"NoDriveTypeAutoRun" =
"95"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV
ersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedVal
ue" = "0"
6. Interneten keresztül fájlokat tölt le.
7. Leállítja a biztonsági szoftverekhez tartozó
folyamatokat és szolgáltatásokat.
8. Minden olyan fájlt megfertõz, amelyek az
alábbi kiterjesztések valamelyikével
rendelkeznek:
.htm
.html
.jsp
.vbs
.xml
.shtml
.js
.php
.asp
.aspx
Ezekhez a fájlokhoz egy rövid JavaScript kódot
fûz hozzá.
A féreg az alábbi könyvtárakban szereplõ
állományokat nem módosítja:
Windows NT
WINDOWS
Local Settings
Recycled
System Volume Information
9. Minden elérhetõ .gho fájlt megfertõz.
