A Dazheb trójai különféle bizalmas információkat igyekszik megszerezni a fertőzött számítógépekről.
A Dazheb trójai elsősorban a modemes internet kapcsolatokhoz beállított hálózati paramétereket igyekszik megszerezni. Emellett egy billentyűzetfigyelő komponenssel is rendelkezik, valamint a Yahoo Instant Messenger szolgáltatáshoz tartozó információk eltulajdonítására is alkalmas. A trójai az összegyűjtött adatokat egy előre meghatározott email címre továbbítja. A Dazheb egyes esetekben egy fájlt is letölt az Internetről.
Amikor a Dazheb trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába Init32.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ {6M8A6G00-3I18-5-24-1360}
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\ {6M8A6G00-3I18-5-24-1360}
kulcsaihoz hozzáadja a
“StubPath” = “%System%\Init32.exe” értéket.
3. Elindít egy folyamatot az alábbi nevek egyikével:
svchost
Rundll
explorer
Update
Norton
Macafee
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\system
kulcsához hozzáadja a
“DisableRegistryTools” = “1”
“DisableTaskMgr” = “1” értékeket.
Ezzel elérhetetlenné teszi a regisztrációs adatbázis szerkesztőjét és a Feladatkezelőt.
5. Egyes esetekben megjelenít egy üzenetablakot, és letölt egy fájlt az Internetről.
6. Naplózza a következőket:
– billentyűleütéseket
– regisztrációs adatbázis változásait
– Yahoo IM jelszavakat
7. Egy előre meghatározott email címre elküld egy Rasphone.pbk fájlt, amely az összegyűjtött információkat tartalmazza.