A Dazheb trójai különféle bizalmas információkat igyekszik megszerezni a fertőzött számítógépekről.

A Dazheb trójai elsősorban a modemes internet kapcsolatokhoz beállított hálózati paramétereket igyekszik megszerezni. Emellett egy billentyűzetfigyelő komponenssel is rendelkezik, valamint a Yahoo Instant Messenger szolgáltatáshoz tartozó információk eltulajdonítására is alkalmas. A trójai az összegyűjtött adatokat egy előre meghatározott email címre továbbítja. A Dazheb egyes esetekben egy fájlt is letölt az Internetről.

Amikor a Dazheb trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába Init32.exe néven.

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ {6M8A6G00-3I18-5-24-1360}
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\ {6M8A6G00-3I18-5-24-1360}
kulcsaihoz hozzáadja a
“StubPath” = “%System%\Init32.exe” értéket.

3. Elindít egy folyamatot az alábbi nevek egyikével:
svchost
Rundll
explorer
Update
Norton
Macafee

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\system
kulcsához hozzáadja a
“DisableRegistryTools” = “1”
“DisableTaskMgr” = “1” értékeket.
Ezzel elérhetetlenné teszi a regisztrációs adatbázis szerkesztőjét és a Feladatkezelőt.

5. Egyes esetekben megjelenít egy üzenetablakot, és letölt egy fájlt az Internetről.

6. Naplózza a következőket:
– billentyűleütéseket
– regisztrációs adatbázis változásait
– Yahoo IM jelszavakat

7. Egy előre meghatározott email címre elküld egy Rasphone.pbk fájlt, amely az összegyűjtött információkat tartalmazza.