A Downadup.B féreg a nehezen eltávolítható, sok műveletet és módosítást végző számítógépes kártevők közé tartozik.

Az Isidor Biztonsági Központ a Symantec egyik jelentése alapján egy vírusriasztást tett közzé, amely egy meglehetősen gyorsan terjedő, rengeteg műveletet végző féregről számol be. A Downadup.B féreg a tevékenykedését a regisztrációs adatbázisnál kezdi, ahol számtalan módosítást eszközöl. Ezt követően a fertőzött rendszereken különféle állományokat hoz létre, amelyeket egy windowsos szolgáltatással egészít ki. A féreg fontos jellemzője, hogy a saját állományait, szolgáltatásait mindig véletlenszerűen generált nevekkel látja el.

A Downadup.B elsősorban a hálózatokon való terjedésre specializálódott. A kártevő azonban nem bíz semmit a véletlenre, hiszen a Windows Vista esetében még egy kis tuningolást is bevet annak érdekében, hogy a hálózati kapcsolatok sebességét felgyorsítsa, és ezáltal fürgébben tudjon terjedni. A féreg előre meghatározott felhasználónevek és jelszavak révén próbál a megosztásokhoz csatlakozni, így a terjedése megfelelően megválasztott (erős) jelszavak révén megzabolázható. Ilyen szempontból a csatlakoztatott hálózati meghajtókra is érdemes figyelni, ugyanis azokra is képes felmásolni a saját állományait.

A Downadup.B különféle rendszerszintű módosítások révén megpróbál elrejtőzni, és folyamatosan figyeli a hálózati forgalmat. Eközben számára nem tetsző, elsősorban biztonsági cégekhez tartozó domaineket blokkol. Majd távoli számítógépekhez kapcsolódik, amelyekről további, kártékony állományokat tölt le.

A féreg a fertőzött rendszereken egy HTTP szervert is elindít egy véletlenszerűen kiválasztott porton keresztül. Módosítja a Windows beépített tűzfalának beállításait, és megpróbálja kihasználni a Windows - októberben már kijavított - Kiszolgáló szolgáltatásában rejlő sérülékenységet.

Amikor a Downadup.B féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"

2. Létrehozza az alábbi fájlokat:
%ProgramFiles%\Internet Explorer\[véletlenszerű fájlnév].dll
%ProgramFiles%\Movie Maker\[véletlenszerű fájlnév].dll
%System%\[véletlenszerű fájlnév].dll
%Temp%\[véletlenszerű fájlnév].dll
C:\Documents and Settings\All Users\Application Data \[véletlenszerű fájlnév].dll

3. Létrehoz egy véletlenszerű fájlnévvel ellátott windowsos szolgáltatást.

4. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[szolgáltatásnév]\Parameters\"ServiceDll" =
"[PATH TO WORM]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[szolgáltatásnév]\"ImagePath" =
%SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[szolgáltatásnév]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[szolgáltatásnév]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[szolgáltatásnév]\"ErrorControl" = "4"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[véletlenszerű név]" = "rundll32.exe
"[véletlenszerű fájlnév].dll", ydmmgvos"

5. Letörli a Windows által létrehozott rendszervisszaállítási pontokat.

6. A Vista TCP/IP auto-tuning funkciójának kikapcsolásával megpróbálja felgyorsítani a hálózati kapcsolatokat.

7. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
"TcpNumConnections" = "00FFFFFE"

8. Leállítja a következő szolgáltatásokat:
Background Intelligent Transfer Service (BITS)
Windows Automatic Update Service (wuauserv)

9. Módosítja az alábbi állományt:
%System%\drivers\tcpip.sys

10. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\
Hidden\SHOWALL\"CheckedValue" = "0"

11. ADMIN$ rendszermegosztásokon keresztül, előre meghatározott felhasználónevek és jelszavak próbálgatásával igyekszik további számítógépekre rákerülni. Amennyiben sikerül számára a kapcsolódás, akkor a távoli rendszereken futó Windows System32 könyvtárába egy véletlenszerű fájlnévvel és dll kiterjesztéssel ellátott állományt hoz létre.

12. Létrehoz egy ütemezett feladatot a "rundll32.exe"-hez

13. Csatlakozik egy távoli szerverhez.

14. Módosítja a Windows beépített tűzfalának beállításait.

15. Egy véletlenszerűen kiválasztott porton keresztül elindít egy HTTP szervert.

16. A fertőzött PC rendszerinformációit eljuttatja egy távoli szerverre.

17. Megpróbálja kihasználni a Windows Kiszolgáló szolgáltatásában rejlő - a Microsoft által októberben kijavított - hibát.

18. Minden hálózati meghajtóra felmásolja magát a következők szerint:
%meghajtó betűjele%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[véletlenszerű fájlnév].dll
%meghajtó betűjele%\autorun.inf

19. Folyamatosan figyeli, hogy kerül-e új meghajtó a számítógéphez, és ha igen akkor arra is rámásolja magát.

20. Módosít néhány Windows API-t, ami az eltávolítását megnehezíti.

21.Figyeli a DNS-kéréseket, és blokkolja azon domainek elérését, amelyek biztonsági cégekhez tartoznak.

22. Az aktuális rendszerdátum alapján domainneveket generál.
 
23. Interneten keresztül különböző fájlokat tölt le, majd futtat.