Упакован известным вирусным упаковщиком при первом запуске очищает все свои предыдущие копии: завершает процесс с именем scvhoss.exe, удаляет такие же файлы в темпе и в каталоге windows
если имя текущего процесса не равно scvhoss.exe, то копирует себя в C:\WINDOWS\scvhoss.exe и запускает через bat файл cmd.exe /c
если же имя процесса scvhoss.exe, то:
создает папку C:\WINDOWS\system_flash_archive\
запускает bat регистрирующий автозапуск
const HKEY_LOCAL_MACHINE = &H80000002
Set objReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")
intRes = objReg.SetStringValue(HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Run","SystemIn_1","C:\WINDOWS\scvhoss.exe
и выполняет основной функционал, создавая 3 треда
Тред для обработки файлов на диске A
каждые 100 секунд строится хеш содержимого всех файлов
если полученный хеш отличается от предыдущего, то все файлы копируются в папку C:\WINDOWS\system_flash_archive\FLOPPY\<xxxxxxxx>, где xxxxxxxx - 32 битный хеш
Тред для обработки файлов на диске B
каждые 5 минут копирует все файлы в папку C:\WINDOWS\system_flash_archive\FLOPPY\
Обработчик сообщения WM_DEVICECHANGE
при подключении съемного диска создает тред в котором со съемного диска копируются все файлы в папку C:\WINDOWS\system_flash_archive\<имя съемного диска>