A Bugnraw trójai meglehetősen látványos módosításokat képes végezni a Windows operációs rendszerekben, miközben azokat további kártevőkkel halmozza el.

A Bugnraw trójai számos fájlt hoz létre a kiszemelt számítógépeken, amelyeket ráadásul véletlenszerűen generált karakterekből összeállított fájlnevekkel lát el. A trójai nem tartozik a rejtőzködő kártékony programok közé, hiszen különféle — meglehetősen szembetűnő — képernyővédőket telepít, és állít be. Ennek következtében a felhasználó PC-jén hamis biztonsági figyelmeztetések, képernyőn futkosó bogarak és kékhalált “idéző” képek jelenhetnek meg.

Bugnraw, a bogaras trójai

Bugnraw, a bogaras trójai

Bugnraw, a bogaras trójai

A kártékony program további problémás tulajdonsága, hogy a Windowsban korábban esetlegesen létrehozott rendszer-visszaállítási pontokat eltávolítja, és egy sajátot hoz létre, amely már a fertőzött állapotokat tükrözi.

A Bugnraw trójai legfőbb célja azonban nem a felhasználók bosszantása, hanem egyéb más jellegű kártékony programok terjesztése, amelyeket előre meghatározott távoli szerverekről tölt le, majd telepít.

Amikor a Bugnraw trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\[véletlenszerű fájlnév].exe
    %System%\[véletlenszerű fájlnév].bmp
    %System%\[véletlenszerű fájlnév].scr
    %Temp%\.tt[véletlenszerű fájlnév].tmp.vbs
  2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ =
    “%System%\[véletlenszerű fájlnév].exe”
  3. Megváltoztatja a Windowsba beállított képernyőkímélőt. Ezzel eléri, hogy a fertőzött számítógép képernyőjén különféle hamis biztonsági üzenetek, mozgó bogarak és kék halált “szimuláló” képek jelenjenek meg.
  4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
    HKU\[SID]\Control Panel\Desktop\Wallpaper =
    “%System%\[véletlenszerű fájlnév].bmp”
    HKU\[SID]\Control Panel\Desktop\ConvertedWallpaper =
    “%System%\[véletlenszerű fájlnév].bmp”
    HKU\[SID]\Control Panel\Desktop\OriginalWallpaper =
    “%System%\[véletlenszerű fájlnév].bmp”
    HKU\[SID]\Control Panel\Desktop\WallpaperStyle = “2”
  5. A regisztrációs adatbázisban módosítja az alábbi értékeket:
    HKU\[SID]\Control Panel\Desktop\SCRNSAVE.EXE =
    “%System%\[véletlenszerű fájlnév].scr”
    HKU\[SID]\Software\Sysinternals\BlueScreen
    HKU\[SID]\Software\Sysinternals\Bluescreen Screen Saver
    HKU\[SID]\Software\Sysinternals\Bluescreen Screen Saver\
    EulaAccepted = 0x00000001
  6. Készít egy rendszer-visszaállítási pontot a Windowsban. A korábban létrehozottakat pedig letörli.
  7. Különböző kártékony fájlokat tölt le az Interneten keresztül. Ezek egyéb vírusokhoz, trójai programokhoz valamint férgekhez tartozhatnak.