A Bobax.AA vírus speciális algoritmusok segítségével illetve internetes keresők felhasználásával nagyon gyorsan kezdett elterjedni az Interneten.
A Bobax.AA egy meglehetősen komplex működésű féreg. Elsősorban elektronikus leveleken keresztül terjed, amelyek tartalmát különböző speciális algoritmusok segítségével állítja össze. A szükséges email címeket pedig nemcsak a megfertőzött számítógépről gyűjti össze, ugyanis internetes keresők felhasználására is képes.
A Bobax.AA szolgáltatásmegtagadási támadást kezdeményez egy előre meghatározott weboldal ellen, majd egy hátsó kaput nyit a támadók számára. A féreg szeptember 15. után automatikusan eltávolítja magát a fertőzött számítógépekről.
Amikor a Bobax.AA elindul, akkor az alábbi műveleteket hajtja végre:
1. Leellenőrzi a rendszerdátumot, és amennyiben az 2005. szeptember 15. utáni dátumot mutat, akkor eltávolítja magát a rendszerből.
2. Létrehoz egy mutexet annak érdekében, hogy csak egy példányban fusson a rendszerben.
3. Különböző folyamatokat állít le, köztük olyanokat is, amelyek biztonsági szoftverekhez tartoznak.
4. Létrehozza a következő fájlokat:
%Windir%\services.exe
%Windir%\msdefr.exe
c:\Autorun.inf
5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
kulcsához hozzáadja az
“RPCserv32g” = “%Windir%\services.exe” értéket.
6. Összegyűjti a Windows címjegyzékéből és különböző kiterjesztésű fájlokból az email címeket.
7. A google.com és az accoona.com felhasználásával további email címeket keres.
8. Az összegyűjtött email címekre továbbküldi saját magát. A fertőzött levelek tárgyát és üzenetét meglehetősen bonyolult algoritmusok alapján egy előre meghatározott listából állítja össze. A levelek mellékletébe .doc, .txt, .info, .pif, .scr vagy .exe kiterjesztésű fájlt helyez el.
9. Szolgáltatásmegtagadási támadást kezdeményez a “www.rit.edu” ellen.
10. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott porton keresztül.
11. A 4242-es vagy a 4661-es portokon keresztül megpróbál távoli számítógépekhez csatlakozni.
12.Fájlokat tölt le az Internetről.