Az Erotpics trójai elsősorban kéretlen levelekben érkezik meg a számítógépekre.
Az Erotpics olyan spamekben terjed, amelyek felnőtteknek szóló képekkel és videókkal kecsegtetik a felhasználókat. Amennyiben a levél címzettje enged a kísértésnek, akkor az emailekben található mellékelt fájl megnyitásakor a számítógép azonnal megfertőződik.
Ezt követően a trójai létrehoz egy windowsos szolgáltatást, majd módosítja a regisztrációs adatbázist. A szolgáltatás révén biztosítja azt, hogy a Windows minden újraindulásakor automatikusan be tudjon töltődni.
A trójai legfőbb feladata, hogy rendszerinformációkat szivárogtasson ki a fertőzött rendszerekről, majd azokra további kártékony fájlokat töltsön le az Interneten keresztül.
Amikor az Erotpics trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%System%\CbEvtSvc.exe - Létrehoz egy windowsos szolgáltatást “CbEvtSvc” néven.
- A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc - Rendszerinformációkat küldözget egy távoli szerver felé.
- Interneten keresztül kártékony fájlokat tölt le.