Spammereket segít a Spamuzle trójai

A Spamuzle trójai számos fájlt hoz létre a fertőzött rendszereken, majd a regisztrációs adatbázist módosítja. Természetesen gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ehhez nemcsak a regisztrációs adatbázist módosítja, hanem a Windows néhány rendszerállományát is megfertőzi.

A Spamuzle trójai legfontosabb feladata, hogy a fertőzött rendszerekről minél több email címet valamint rendszerinformációt gyűjtsön össze. Amennyiben ez sikerül neki, akkor a megszerzett adatokat egy előre meghatározott, távoli szerverre tölti fel. A kiszolgáltatott email címek azonnal a spammerek adatbázisába kerülnek, akik kéretlen levelek küldözgetéséhez használhatják fel azokat.

Amikor a Spamuzle trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\nvrsul32.dll
%System%\pla.ax
%System%\[véletlenszerű karakterek]
%System%\drivers\atmapi.sys
%System%\fre.xc
%System%\mdfg.odl
%System%\sfmrr.r

2. Módosítja az alábbi állományokat:
%System%\user32.dll
%System%\dllcache\user32.dll

3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"hlpInit_Dlls" = "nvrsul32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"st" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"mid" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31897356954C2CD3D41B221E3F24F99BBA" = "019b9906"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31897356954C2CD3D41B221E3F24F99BBA" = "0383e30b"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31897356954C2CD3D41B221E3F24F99BBA" = "021365da"

4. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%Windir%\explorer.exe"

5. Kiüríti a DNS cache-ben található bejegyzéseket:

6. Interneten keresztül távoli szerverekhez kapcsolódik.

7. Email címeket gyűjt össze.

8. Fájlokat tölt le az Interneten keresztül.

9. Feltérképezi a fertőzött számítógépre telepített alkalmazásokat.

10. Az összegyűjtött információkat feltölti egy távoli szerverre.