A Bifrose.E trójai legfőbb célja, hogy egy hátsó kaput nyisson a rendszereken, és azon keresztül bizalmas adatokat szivárogtasson ki a támadók számára.
A Bifrose.E trójai többféleképpen képes a bizalmas adatok megszerzésére. Elsősorban a billentyűzetfigyelő komponensét használja fel arra, hogy minél több adatot összegyűjtsön a fertőzött rendszerekről. A megszerzett információkat előre meghatározott módon továbbítja a támadók számára. Mindezek mellett egy hátsó kaput is nyit, amelyen keresztül jogosulatlan távoli hozzáférést biztosít a fertőzött rendszerekhez. A trójai megpróbál néhány előre meghatározott játékszoftverhez szériaszámokat megkeresni. A Bifrose.E az Internet Explorer megfertőzésével igyekszik elrejtőzni a számítógépen futó folyamatok között.
Amikor a Bifrose.E elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a következők szerint:
%UserProfile%\Local Settings\pligde.exe
C:\pligde.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
\{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}
kulcsához hozzáadja a
“stubpath” = “[a trójai elérési útvonala]\pligde.exe” értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“StartKey” = “[a trójai elérési útvonala]\pligde.exe” értéket.
4. Megpróbálja megfertőzni az Internet Explorerhez tartozó folyamatokat. Amennyiben ez sikerül, akkor nem lesz látható a Windows Feladatkezelőjében.
5. A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKEY_CURRENT_USER\SOFTWARE\SKav
HKEY_LOCAL_MACHINE\SOFTWARE\SKav
6. Nyit egy hátsó kaput a 1863-as TCP porton, amelyen keresztül a támadók különböző parancsokat futtathatnak el.
7. Rendszeres időközönként megpróbál kapcsolódni a következő weboldalhoz:
taipei2002.9966.org
8. Megpróbál szériaszámokat szerezni különböző játékokhoz:
9. Folyamatosan naplózza a billentyűleütéseket, és az összegyűjtött információkat az alábbi fájlban tárolja el:
%UserProfile%\Local Settings%\SysPr.prx
Ezt az állományt elküldi egy távoli szerverre.