A Vidoor.A trójai folyamatosan kémkedik a fertőzött rendszereken, és bizalmas adatokat szolgáltat ki azokról.

A Vidoor.A trójai elsősorban cserélhető, illetve hálózati meghajtókon keresztül terjed. A kártékony program minden — számára írható — adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf  nevű állományt hoz létre, és ezeket párhuzamosan futtatja. Ezzel eléri azt, hogy ha a felhasználó valamelyik folyamatot leállítja, akkor a másik újraindítja azt, így a trójai folyamatosan működőképes marad. A kártevő legfontosabb feladata, hogy folyamatosan figyelje a rendszert, és bizalmas adatokat gyűjtögessen. Ennek érdekében többek között az alábbi műveleteket végzi:

  • billentyűleütések figyelése
  • folyamatok listázása
  • folyamatok leállítása
  • a Windows Intéző leállítása
  • fájlok listázása és másolása
  • összegyűjtött információk interneten keresztül történő továbbítása

Kémkedik a Vidoor trójai

Amikor a Vidoor.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    C:\Directory\system.exe
    C:\Windows\System32\\\pc.exe
  2. Mind a két fenti .exe fájlt elindítja. Az ezekhez tartozó folyamatok egymást figyelik, és ha az egyik leáll, akkor a másik azonnal újraindítja azt.
  3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default)
    = “C:\Windows\System32\\\pc.exe”
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cliente
    = “C:\Windows\System32\\\pc.exe”
  4. Megpróbál cserélhető és hálózati meghajtókon keresztül terjedni. Minden adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf nevű állományt hoz létre.
  5. Folyamatosan figyeli a rendszer működését és adatokat gyűjtöget.
  6. Az összegyűjtött információkat interneten keresztül továbbítja a támadók szervereire.