Levélszemetet hagy hátra a Spamavicon trójai

A Spamavicon trójai - ahogy a neve is mutatja - elsősorban a spammereket segíti abban, hogy minél nagyobb mennyiségű e-maillel tudják ostromolni a postafiókokat. A kártékony program a fertőzött számítógépekről sok esetben a felhasználó tudta nélkül képes - távolról vezérelt módon - spameket terjeszteni.

Az Isidor Biztonsági Központ szerint a Spamavicon a regisztrációs adatbázis manipulálásával megkerüli a Windows beépített tűzfalát, majd csatlakozik egy távoli szerverhez, amelyről titkosított állományokat tölt le. Ezek olyan e-mail címeket tartalmaznak, amelyekre a trójainak spameket kell kiküldenie. Mindezek mellett a kártékony program a helyi meghajtókon található, különböző kiterjesztésű állományokból is képes e-mail címeket összegyűjteni.

Amikor a Spamavicon trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%Temp%/system.exe
%System%/dbs.dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/"Shell" = "Explorer.exe, %Temp%/system.exe"

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/AppletsScandisk/data
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/AppletsScandisk/hash

4. A Windows Update weboldalának letöltésével leellenőrzi, hogy van-e élő internet kapcsolat a számítógépen.

5. Csatlakozik előre meghatározott távoli szerverekhez, és azokról titkosított fájlokat tolt le. Ezek az állományok e-mail címeket tartalmaznak.

6. A regisztrációs adatbázisban manipulálja a következő kulcsban szereplő értékeket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/ FirewallPolicy/StandardProfile/AuthorizedApplications/List

Ezzel megpróbálja megkerülni a Windows beépített tűzfalát.

7. A helyi meghajtókon - különböző kiterjesztésű állományokban - e-mail címeket keres.

8. Elektronikus leveleket küld ki nagy mennyiségben.