A Vidoor.A trójai folyamatosan kémkedik a fertőzött rendszereken, és bizalmas adatokat szolgáltat ki azokról.
A Vidoor.A trójai elsősorban cserélhető, illetve hálózati meghajtókon keresztül terjed. A kártékony program minden — számára írható — adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf nevű állományt hoz létre, és ezeket párhuzamosan futtatja. Ezzel eléri azt, hogy ha a felhasználó valamelyik folyamatot leállítja, akkor a másik újraindítja azt, így a trójai folyamatosan működőképes marad. A kártevő legfontosabb feladata, hogy folyamatosan figyelje a rendszert, és bizalmas adatokat gyűjtögessen. Ennek érdekében többek között az alábbi műveleteket végzi:
-
billentyűleütések figyelése
-
folyamatok listázása
-
folyamatok leállítása
-
a Windows Intéző leállítása
-
fájlok listázása és másolása
-
összegyűjtött információk interneten keresztül történő továbbítása
Amikor a Vidoor.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
-
Létrehozza a következő fájlokat:
C:\Directory\system.exe
C:\Windows\System32\\\pc.exe -
Mind a két fenti .exe fájlt elindítja. Az ezekhez tartozó folyamatok egymást figyelik, és ha az egyik leáll, akkor a másik azonnal újraindítja azt.
-
A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default)
= “C:\Windows\System32\\\pc.exe”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cliente
= “C:\Windows\System32\\\pc.exe” -
Megpróbál cserélhető és hálózati meghajtókon keresztül terjedni. Minden adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf nevű állományt hoz létre.
-
Folyamatosan figyeli a rendszer működését és adatokat gyűjtöget.
-
Az összegyűjtött információkat interneten keresztül továbbítja a támadók szervereire.
