A Bancorkut féreg elektronikus levelek révén meglehetősen gyors terjedésre képes.
A Bancorkut féreg legfontosabb feladata, hogy annyi email címet gyűjtsön össze a fertőzött számítógépekről, amennyit csak lehet. Ennek érdekében a hagyományos módszerek bevetésével különböző kiterjesztésű fájlokban kezd el kutakodni. Azonban nem éri be ennyivel, és az Internet Explorerben megnyitott weblapok folyamatos figyelésével a felhasználó által megadott bejelentkezési adatokat is igyekszik megkaparintani. Mindezek mellett az MSN Messenger partnerlistáját is átböngészi email címek után kutakodva.
Amikor a féreg végzett a gyűjtögetéssel, akkor a megszerzett információkat feltölti egy előre meghatározott weboldalra. Ezt követően az összegyűjtött email címekre leveleket kezd el küldözgetni, amelyek üzenetében egy kártékony weboldalra mutató hivatkozás is megtalálható.
Amikor a Bancorkut féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt: %Windir%\avgsh.exe
- A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”AV
GShield”
= “%Windir%\avgsh.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MSM
SGS”
= “%Program Files%\Messenger\msmsgs.exe /background” - Különböző kiterjesztésű fájlokban email címeket keres.
- MSN Messengerből megpróbál további email címeket kikeresni.
- Folyamatosan figyeli a megnyitott Internet Explorer ablakokat.
- Megpróbál email címeket gyűjteni egyes webes szolgáltatásokból.
- A weblapokon megadott belépési információkat eltárolja.
- Az összegyűjtött email címeket és bizalmas információkat feltölti néhány előre kijelölt weboldalra.
- Interneten keresztül letölt néhány fájt.
- Emaileket kezd el küldözgetni az előzőleg megszerzett címek alapján. A fertőzött levelek tárgya minden esetben üres. Az emailek üzenetében egy kártékony webhelyre mutató hivatkozás is megtalálható.