A Bancorkut féreg elektronikus levelek révén meglehetősen gyors terjedésre képes.

A Bancorkut féreg legfontosabb feladata, hogy annyi email címet gyűjtsön össze a fertőzött számítógépekről, amennyit csak lehet. Ennek érdekében a hagyományos módszerek bevetésével különböző kiterjesztésű fájlokban kezd el kutakodni. Azonban nem éri be ennyivel, és az Internet Explorerben megnyitott weblapok folyamatos figyelésével a felhasználó által megadott bejelentkezési adatokat is igyekszik megkaparintani. Mindezek mellett az MSN Messenger partnerlistáját is átböngészi email címek után kutakodva.

Gyűjtögetésből él a Bancorkut féreg 

Amikor a féreg végzett a gyűjtögetéssel, akkor a megszerzett információkat feltölti egy előre meghatározott weboldalra. Ezt követően az összegyűjtött email címekre leveleket kezd el küldözgetni, amelyek üzenetében egy kártékony weboldalra mutató hivatkozás is megtalálható.

Amikor a Bancorkut féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt: %Windir%\avgsh.exe
  2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”AV
    GShield”
    = “%Windir%\avgsh.exe”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”MSM
    SGS”
    = “%Program Files%\Messenger\msmsgs.exe /background”
  3. Különböző kiterjesztésű fájlokban email címeket keres.
  4. MSN Messengerből megpróbál további email címeket kikeresni.
  5. Folyamatosan figyeli a megnyitott Internet Explorer ablakokat.
  6. Megpróbál email címeket gyűjteni egyes webes szolgáltatásokból.
  7. A weblapokon megadott belépési információkat eltárolja.
  8. Az összegyűjtött email címeket és bizalmas információkat feltölti néhány előre kijelölt weboldalra.
  9. Interneten keresztül letölt néhány fájt.
  10. Emaileket kezd el küldözgetni az előzőleg megszerzett címek alapján. A fertőzött levelek tárgya minden esetben üres. Az emailek üzenetében egy kártékony webhelyre mutató hivatkozás is megtalálható.