A Banload.AGK trójai készítői úgy gondolták, hogy ezúttal leginkább a portugál felhasználók számítógépeit, illetve adatait veszik célba. Ennek megfelelően a kártékony programjuk jó néhány nemkívánatos műveletet kizárólag akkor hajt végre, ha egy portugál nyelvű Windows-t futtató számítógépre kerül fel. Azonban itt kell megjegyezni, hogy nem minden tevékenysége kötődik a portugál Windows-hoz, ezért egyéb esetekben is képes problémákat okozni, például fájlok törlésével vagy a rendszerek kiszolgáltatottá tételével.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Banload.AGK trójai legfontosabb célja, hogy egy olyan hátsó kaput létesítsen az áldozatául esett PC-ken, amelyen keresztül a támadók hozzáférést szerezhetnek a következő rendszerinformációkhoz:
- számítógép neve
- bejelentkezett felhasználó adatai
- fájlrendszerrel kapcsolatos adatok
- Windows verziója
- MAC-cím
- telepített víruskereső neve.

Amikor a Banload.AGK elindul, akkor az alábbi műveleteket hajtja végre:

1. Amennyiben a fertőzött számítógépen portugál nyelvű Windows fut, akkor bemásol egy infosapi.DLL nevű állományt a következő mappákba (ha azok léteznek):
C:/Adobe7/Adobess
C:/Adobe7/NEFXRepair
C:/Adobe/NEFXRepair019
C:/Adobe/NEFXRepair02
C:/Adobe/WSansung
C:/Adobe/WSansungw
C:/Arquivos de programas/GbPlugin
C:/Arquivos de programas/Google/Update/0.1.3.1
C:/Arquivos de programas/Google/Update/0.1.3.4
C:/Arquivos de programas/Google/Update/0.1.3.5
C:/Arquivos de programas/Google/Update/0.1.3.7
c:/boot/eng-us
C:/Mobile/wcescom
C:/Mobiles/Dacotf
C:/Mobille/Sansung
C:/Office/Outlook
C:/TEMP
C:/Winsys7/SysDatt
C:/Winsys_/SysDate
C:/Winsys_/SysDatt

2. Amennyiben a fertőzött számítógépen portugál nyelvű Windows fut, akkor az interneten keresztül további kártékony fájlokat tölt le. Ehhez előre meghatározott szerverekhez csatlakozik.

3. Ha az alábbi könyvtárak bármelyike létezik, akkor azokból minden alkönyvtárat és fájlt kitöröl:
%ProgramFiles%/AVG
%ProgramFiles%/Alwil Software
%ProgramFiles%/Alwil
%ProgramFiles%/GbPlugin
%ProgramFiles%/Grisoft
%ProgramFiles%/Kaspersky Labs
%ProgramFiles%/Kaspersky
%ProgramFiles%/Norton AntiVirus
%ProgramFiles%/Scpad
%ProgramFiles%/Symantec AntiVirus

4. Letörli az alábbi fájlokat:
%Temp%/IconsDb/3DVision_280.dll
%Temp%/IconsDb/3DVision_719.dll
%Temp%/IconsDb/GoogleUpdat
%Temp%/IconsDb/GoogleUpdatt
%Temp%/IconsDb/Vision_290.exe
%Temp%/IconsDb/arcsoft
%Temp%/IconsDb/audiodg
%Temp%/IconsDb/bottongifjp30082011
%Temp%/IconsDb/cfgGoogleUpdat
%Temp%/IconsDb/cfggbiehabnn
%Temp%/IconsDb/dadfdf
%Temp%/IconsDb/designer.exe
%Temp%/IconsDb/dfad
%Temp%/IconsDb/fafd
%Temp%/IconsDb/gbieahbnn
%Temp%/IconsDb/gbiehabnnpdf
%Temp%/IconsDb/msocache.dll
%Temp%/dbcache.cab

5. Ismét csatlakozik egy távoli szerverhez.

6. Nyit egy hátsó kaput, majd várakozik a támadók parancsaira.

-vége-

A hír megjelenését a Biztonságportál támogatta.