این ویروس پس از مقیم شدن در حافظه تلاش می کند کد مخربی را از راه دور دریافت کرده و آنرا در پروسه ی Explorer.exe سیستم و هر پروسه ای که پس آز آن در حافظه بار گذاری می شود، تزریق نموده و از این طریق باعث اجرای کد مورد نظر شود. به بیان دیگر ویروس W32/Virut.n.gen تلاش می کند خود را در بخشی از حافظه ی سیستم آلوده قراردهد که مربوط به یکی از پروسه های سیستمی و یا پروسه محافظت شده دیگری مانند Winlogon.exe می باشد. به این شکل ویروس می تواند خود را از چشم کاربر یا سایر نزم افزارهای دیگر پنهان کند.
آسیب دیگر ساختن و یا تغییر تنظیمات پیش فرض (policy) سیستم است که ممکن است باعث جلوگیری از استفاده ی ابزار های معمول سیستمی شود.
ویروس W32/Virut.n.genپس از مقیم شدن در حافظه با تغییر در مدخلهای زیر در محضر خانه ی سیستم، مانع استفاده ی کاربر از ابزار ویرایش محضرخانه (Registry editor) و همچنین ابزار مدیریت کارها (Task manager) می شود:
- HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWS CURRENTVERSIONPOLICIESSYSTEM DISABLEREGISTRYTOOLS = 1
- HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWS CURRENTVERSIONPOLICIESSYSTEM DISABLETASKMGR = 1
آسیب دیگر این ویروس تغییر تنظیمات پیش فرض مربوط به مرورگر سیستم عامل (windows explorer) می باشد که با این کار مانع دیده شدن فایل های مخفی سیستم و پسوند فایل ها می شود. با این پسوند exe بعضی از فایل های اجرایی نمایش نیافته و بنابراین به صورت فایل های متنی به کاربر نشان داده می شوند. همچنین با تغییر در محضر خانه ی سیستم سبب می شود کاربر نتواند این تنظیمات را به حالت اول برگرداند:
- HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWS CURRENTVERSIONPOLICIESEXPLORER NOFOLDEROPTIONS = 1
این ویروس فایلهای مخرب زیر را در دستگاه آلوده کپی می کند:
- %WINDIR%SYSTEM32word.exe
- %WINDIR%SYSTEM32iexplorers.exe
- %ALLUSERSPROFILE%application datamicrosoftcryptorsa s-1-5-18d42cc0c385 8a58db2db3765821 9e6400_584cabc6-b3f0-4d52-b7 e2-3ffbf17c3258
- %WINDIR%SYSTEM32MicrosoftProtectS-1-5-18User4956aa3a-acc9-4d4b-854d-84de8420e98b
- %WINDIR%tasksat1.job
- %WINDIR%iexplorers.exe
از دیگر خرابکاری های این ویروس تغییر مقادیر مربوط به پوسته ی سیستم عامل ( shell ) در محضر خانه ی سیستم آلوده است که می تواند برای باز شدن برنامه های مخرب به هنگام راه اندازی سیستم استفاده شود.
ویروس W32/Virut.n.gen تلاش می کند با نشانی های زیر ارتباط برقرار نماید:
- 95.143.193.***:80
- 94.63.149.***:80
- 83.133.119.***:80