A Starimp.AX trójai bizalmas adatok kiszivárogtatásával és a nehezen helyreállítható
módosításaival okozhatja a legtöbb kárt, illetve kellemetlenséget.

 

A trójai egy windowsos szolgáltatást hoz létre, amelynek révén az operációs
rendszer minden egyes betöltődésekor el tud indulni. A kártevő arra is képes, hogy már meglévő
szolgáltatásokhoz tartozó állományokat fertőzzön meg, és ezzel ártalmatlannak látszó windowsos összetevők mögé rejtőzzön el.

A Starimp.AX a Windows tűzfalát is képes megkerülni, amelyet az operációs rendszer egyik rendszerállományának felhasználásával tesz meg. Ezt követően pedig bizalmas adatokat igyekszik összegyűjteni, amelyeket egy előre meghatározott szerverre tölt fel. A trójai elsősorban az internetezés során elmentett felhasználónevek és jelszavak után kíváncsiskodik.

A Starimp.AX trójai elsősorban kártékony weboldalakról kerül rá a kiszemelt számítógépekre, amelyekre számos további kártékony programot is képes letölteni.

Amikor a Starimp.AX trójai elindul, akkor az alábbi műveleteket hatja végre:

1. A regisztrációs adatbázisban létrehozza a következő kulcsokat
HKLMSystemCurrentControlSetControlMPRServicesTestService
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifygzipmod

Ezekhez hozzáilleszti az alábbi értékeket:
DllName = "gzipmod.dll"
Startup = "gzipmod"
Impersonate = dword:00000001
Asynchronous = dword:00000001
MaxWait = dword:00000001
adrn = "[véletlenszerű számok]"

2. Létrehozza a következő fájlokat:
%System%gzipmod.dll
%System%vbagz.sys

3. Letörli az alábbi állományt:
%Documents and Settings%All UsersStart MenuProgramsStartup ewrnj.exe

4. Létrehoz egy "VBA PnP Driver" nevű szolgáltatást.

5. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLMSYSTEMCurrentControlSetServicesvbagz
HKLMSYSTEMCurrentControlSetControlSafeBootMinimalvbagz.sys
HKLMSYSTEMCurrentControlSetControlSafeBootNetworkvbagz.sys

6. A vbagz.sys állomány révén különféle windowsos szolgáltatásokhoz tartozó drivereket próbál megfertőzni.

7. Az internetezés során keletkező átmeneti állományok, és az elmentett felhasználónevek és jelszavak összegyűjtése után a bizalmas adatokat egy előre meghatározott távoli szerverre tölti fel.

8. Interneten keresztül különböző állományokat tölt le, és ment el a Windows System32 könyvtárába.

9. A rundll32.exe állomány felhasználása révén megpróbálja megkerülni a Windows beépített tűzfalát. A regisztrációs adatbázisban pedig módosítja az alábbi bejegyzést:
HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandard
ProfileAuthorizedApplicationsList%System% undll32.exe = "%System% undll32.exe:*:Enabled:rundll32"

10. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.