desktop.exe "puede variar dependiendo como se encripte el virus"
Cmd(c windows win32)
esta se encuentra en los accesos directos, enruta al ejecutable del virus el cual se multicopia y mediante el antivirus peruxo se desactiva, mas no se borran las secuencias
Desktop normal (sin virus)
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\wfsr.dll,-57605
Desktop infected
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21790
Busca los archivos del recurso que puede ser el desktop, el escritorio o la memoria usb
InfoTip=@%SystemRoot%\system32\shell32.dll,-12689
Cambia los atributos de este sitio, fichero y/o carpeta
IconResource=%SystemRoot%\system32\imageres.dll,-108
Crea los iconos nuevos para cada uno de los archivos que recientemente cambiaron sus atributos
IconFile=%SystemRoot%\system32\shell32.dll
Les da un nombre que es el mismo a los ocultos, pero seleciona un icono al azar de todos los que estén disponibles en el pc
IconIndex=-237
SEUNDA OBSEVACION
primero localiza el archivo, crea un aplicativo o acceso directo con el nombre del mismo, luego encripta el archive real, es mas fácil de identificar debido a que los archivos en el sistema de almacenamiento quedan con su nombre original pero la extensión que antes tenían por ejemplo.doc para archivos de Word es visible, además el icono de la misma se selecciona al azar
Variante
[LocalizedFileNames]
Documents.library-ms=@@%SystemRoot%\system32\shell32.dll,-34575
Pictures.library-ms=@@%SystemRoot%\system32\shell32.dll,-34595
Videos.library-ms=@@%SystemRoot%\system32\shell32.dll,-34620
Music.library-ms=@@%SystemRoot%\system32\shell32.dll,-34584
Variante. se observa en el antivirus una deteccion y eliminacion parcial, pues no logro desencriptar el archivo (debido a que usa los iconos de un acceso directo, para llevar la secuencia) que Se encuentra en la carpeta
C:\Users\compu\AppData\Roaming\Microsoft\Windows\Start_Menu\Programs\Accessories\Accessibility
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21761}
[LocalizedFileNames]
Windows Explorer.lnk=@%SystemRoot%\system32\shell32.dll,-22067
Run.lnk=@%SystemRoot%\system32\shell32.dll,-12710
Command Prompt.lnk=@%SystemRoot%\system32\shell32.dll,-22022
Notepad.lnk=@%SystemRoot%\system32\shell32.dll,-22051
[.ShellClassInfo]
UICLSID={7BD29E00-76C1-11CF-9DD0-00A0C9034933}
LocalizedResourceName=@C:\PROGRA~1\MICROS~1\hearts\hearts.exe,-101
SECUENCIA Encargada de multicopiar el archivo principal del virus en todas las subcarpetas cada vez que se intenta una acción determinada, estas pueden ser, al hacer clic en algún programa estándar como por ejemplo el explorador de Windows, la estandarización de algunos programas hacen que la variable se cumpla y el virus se active
