loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s windows embedded. šlo o variantu conficker.b, všechny příznaky stejné jak popisuješ.
líbil se mi fór s těmi právy, datum podle ostatních souborů windows, spouštění přes záznam v registrech: svchost -> netsvc -> náhodný název. šířil se stažením do ie temporary net files pod účtem system, kde se maskoval za obrázek.
smrtící pro něj byla pevná velikost souboru 162.155 byte. pak už jen záplata ms08-067, dnes nahrazena ms12-054 - kromě služby server řeší i elevaci práv.