Kipróbáltam, az XP-t úgy tűnik már a malware írok se támogatják 100%-osan (XP módba nem volt hajlandó megfertőzni a hálózati meghajtót egyik minta sem :(). De kipróbáltam Windows 7 alatt, és úgy tűnik helyben kódol, mert miután végzett a samba-n beállított recycle könyvtár üres volt, közbe futott a process explorer, a képből úgy jön le, hogy fogja az eredetit átnevezi random.tmp-ra majd elkódolja helyben és a végén visszanevezi.