A Lingling.B nevű trójai legfőbb feladata, hogy az Internet Explorer és a World of Warcraft mögé elrejtőzve bizalmas adatokat, illetve rendszerinformációkat gyűjtsön össze.
A Lingling.B felismerése víruskereső szoftverek nélkül meglehetősen nehézkes, ugyanis a kártékony program olyan jól ismert szoftverek mögé igyekszik elrejtőzni, mint például az Internet Explorer vagy a World of Warcraft. Amennyibe ez sikerül neki, akkor a háttérben megbújva végzi a feladatát. A trójai célja, hogy minél több bizalmas adatot és rendszerinformációt gyűjtsön össze a fertőzött számítógépekről. Elsősorban a következő adatokra vadászik:
– felhasználónevek és jelszavak
– IP címek
– az operációs rendszerrel összefüggő információk.
Amikor a Lingling.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\~.exe
%Temp%\svchost.exe
%Temp%\g0ld.com
C:\WINDOWS\chenzi.exe
%System%\bdscheca001.dll
2. Leállítja az alábbi folyamatot, amennyiben az fut:
QQLiveUpdate.exe
3. Letörli a következő állományt:
%System%\drivers\etc\Hosts
4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C0CFA58-3A 6F-51ba-9EFE-5320F4F621BA}\InProcServer32″(Default)” = “%System%\bdscheca001.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\ShellExecuteHooks\{9C0CFA58-3A6F-51ba-9EFE -5320F4F621BA}
5. Folyamatosan figyeli az Internet Explorer aktivitását és a World of Warcrafthoz tartozó ablakok esetleges jelenlétét.
6. Amennyiben a World of Warcraft fut a számítógépen, akkor megpróbál felhasználóneveket, jelszavakat, rendszerinformációkat és IP címeket szerezni.
7. Az összegyűjtött információkat egy távoli szerverre továbbítja.