A Hanambot trójai bizalmas információk, főként online banki szolgáltatásokhoz tartozó belépési adatok után kíváncsiskodik.

A Hanambot trójai azon kártékony programok közé sorolható, amelyek kémkedéssel próbálnak hasznot hozni a terjesztőiknek, miközben a tevékenységüket a lehető legjobban álcázzák. A Hanambot a fertőzött rendszereken számos fájlt hoz létre, majd a regisztrációs adatbázis módosításával eléri, hogy a Windows beépített tűzfala ne akadályozza a tevékenységében.

A trójai néhány folyamat megfertőzését követően különböző rootkit technikákat vet be annak érdekében, hogy az állományait valamint az általa végzett műveleteket elrejtse, és láthatatlanul tudjon tevékenykedni a háttérben. A kártékony program elsődleges célja, hogy online banki szolgáltatásokhoz tartozó bizalmas adatokat gyűjtsön össze, majd továbbítson a támadók számára. Az Isidor Biztonsági Központ szerint a Hanambot még arról is gondoskodik, hogy a böngészőkben esetlegesen korábban elmentett felhasználóneveket, jelszavakat kitörölje. Mindezt azért teszi, hogy azokat a felhasználónak újra meg kelljen adnia, miközben az adatlopásért felelős összetevők éberen figyelnek.

Amikor a Hanambot trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\nah_[véletlenszerű karakterek].exe
%ProgramFiles%\Mozilla Firefox\chrome\amba.jar

2. Amikor az amba.jar betöltődik, akkor automatikusan létrejön az alábbi állomány:
%ProgramFiles%\Mozilla Firefox\chrome\amba.js

3. Módosítja a következő fájlt:
%ProgramFiles%\Mozilla Firefox\chrome\browser.manifest

4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"nah_Shell" =
"C:\Documents and Settings\Administrator\nah_cord.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\explorer.exe" =
"%Windir%\explorer.exe:*:Enabled:Windows Explorer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\explorer.exe" = "%Windir%\explorer.exe:*:Enabled:Windows Explorer"

5. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_id" = "1860995032"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_certs" = "/cgi-bin/trash.py"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_command" = "/system/prinimalka.py/command"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_file" = "/system/prinimalka.py/cookies"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_forms" = "/system/prinimalka.py/forms"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_idproject" = "000055"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_options" = "/system/prinimalka.py/options"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_pauseopt" = "1200"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_reserver" = "64.191.113.106"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_server1" = "78.109.23.2"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_ss" = "/cgi-bin/trash.py"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_opt_storage" = "/cgi-bin/trash.py"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\"nah_options" = "NEWOPTS"

6. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

7. Megfertőz néhány folyamatot, köztük az "explorer.exe"-t is.

8. A rootkit összetevőjének köszönhetően elrejti saját magát és az általa végzett tevékenységeket a fertőzött rendszereken.

9. Kitörli a böngészőkbe elmentett átmeneti állományokat, felhasználóneveket és jelszavakat.

10. Bizalmas információkat gyűjt össze.

11. Egy előre meghatározott távoli weboldalról frissíti a saját fájljait.