01：自分自身をコピーしたdllファイルとtmpファイルの作成

Downadup (Kido, Conficker) wormが活動を始めると、自分自身を下記のファイルにコピーし、
タイムスタンプを「%system%kernel32.dll」ファイルの日付で上書きします。

%System%\[ランダムな名称].dll
%Program Files%\Internet Explorer\[ランダムな名称].dll
%Program Files%\Movie Maker\[ランダムな名称].dll
%All Users Application Data%\[ランダムな名称].dll
%Temp%\[ランダムな名称].dll
%System%\[ランダムな名称].tmp
%Temp%\[ランダムな名称].tmp

02：リムーバルディスクへ自動起動ファイル（autorun.inf）と関連ファイルを作成

また、システムが起動されるタイミングでワームのコピーが実行されるようにautorun entries（自動実行情報）をレジストリにつくります。　また、USBメモリなどのリムーバルディスクやマッピングされたドライブに下記のファイルを作成します。　

[ドライブ名]\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[ランダム（3文字）]
[ドライブ名]\autorun.inf

03：実行ファイル（exeファイル）を作成
プロセスに自分自身を添付します。

svchost.exe、explorer.exe、services.exe

04：関連Windowsシステムの無効化
ワームはその活動をするため数個のWindowsシステムを無効にします。

Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)

Windows Vistaの場合は、TCP/IP auto-tuningを無効にするコマンドを走らせるようです
（ netsh interface tcp set global autotuning=disabled ）

05：インターネットアクセスに制限を与えます
ユーザーが「ある種」のドメインリストにアクセスしようとすると、API（DNS_Querry_A、DNS?_Query_UTF8、DNS_Query_W、Query_Main、sendto）を止めてアクセスをブロックしたり、セキュリティに関連した名前（会社、キーワードなど）が入ったドメイン名にアクセス出来ないようにしたりします。

繁殖方法について

ネットワークへ迅速にアクセスし広がるためレジストリの内容を修正。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE

このドライブを使うことで拡散のスピードをあげることが出来るようになり、%System%\drivers\tcpip.sys.の中にその機能が導入されます。

ワームはNetServerEnumを利用し適当なネットワークサーバをチェックします。　NetUserEnum API、事前に用意されているパスワード・リスト、またはサーバー上のユーザーアカウントでログオンを試みます。　発見したネットワークサーバーにログオンを試みます。　ネットワークサーバーへのアクセスに成功するとネットワーク共有が可能になります。　自分自身を「ADMIN$」にコピーします。

\\[ホスト名]\ADMIN$\System32\[ランダムなファイル名].[ランダムな拡張子名]

下記コマンドを実行するために、リモートサーバー上にスケジュールタスク（日次スケジュールのジョブ）を作成します。

rundll32.exe [ランダムファイル名].[ランダムな拡張子名], [ランダム]

ワームはMS08-067の脆弱性を突き、他のマシンのセキュリティホールから自分自身のコピーをダウンロードし増殖することが可能になります。　それを実行するため、まず感染している（自分の）グローバルIPアドレスを取得する目的で、攻撃者が指定する悪意あるサイトへ接続。　ランダムなポート番号を使用したHTTPサーバーをつくります。

http://[グローバルIPアドレス]/[ランダムなポート番号]　

感染したマシンから他のマシンへ故意につくったパケット（悪意あるコード）を送信するため、マルウェアのダウンロードが可能なHTTPサーバーをつくります。　（システムに侵入に成功すると）、ターゲットにされたマシンは先に感染したマシンからマルウェアのコピーを強制的にダウンロードさせられることになります。　ダウンロードされたマルウェアには、bmp、gif、jpeg、pngのどれかの拡張子がついています。　そして、脆弱性による新たなハッキングを避けるためNetpwPathCanonicalize APIに接続します。


ダウンロード について

Downadupはsystemへファイルをダウンロードします。 　まずgoogleやyahooなどのサイトへアクセスしてシステムの日付を取得。 取得した日付を使ってマルウェアをダウンロードするためのドメインのリストが作成されます。　ワームは2009年1月1日以降であるかどうかの確認を行います。　この条件を満たしていると下記のウェブサイトからファイルをダウンロードして起動します。　

アクセスするサイト：http://（システム日付から割り当てられたドメイン名）/search?q=%d

ダウンロードファイル名：[ランダムなファイル名].tmp


レジストリー情報の修正について

ワームは、セキュリティセンター警告を無効にし、Windows Defender から防ぐため、幾つかのキーをレジストリーの文字列から削除します。　システム上の自分存在を隠すため、ワームはユーザが作成したシステム回復ポイントを削除し、レジストリキーを下記のように変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

感染している間、ワームはtemporary（TMP）ファイルをシステムまたはTempフォルダに作成する可能性があります。　作成されたTMPファイルはサービスカーネルドライバー（SERVICE KERNEL DRIVER ）として記録されます。　そこには下記のようなレジストリ情報が使われます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%MalwarePath%\[random].tmp"
DisplayName = [Random]

キーが作成されると、%MalwarePath%\[ランダムなファイル名].tmpのファイルは削除され、関連したレジストリーに下記の情報が記録されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = [サービス名]Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %description%

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ランダム名]\ParametersServiceDll = %MalwarePath%

上の[サービス名]には、下記からとった２つの言葉の組み合わせが使われるようです。

Boot、Center、Config、Driver、Helper、Image、Installer、Manager、Microsoft、Monitor、Network、Security、Server、Shell、Support、System、Task、Time、Universal、Update、Windows /他