A Vidoor.A trójai folyamatosan kémkedik a fertőzött rendszereken, és bizalmas adatokat szolgáltat ki azokról.
A Vidoor.A trójai elsősorban cserélhető, illetve hálózati meghajtókon keresztül terjed. A kártékony program minden — számára írható — adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf nevű állományt hoz létre, és ezeket párhuzamosan futtatja. Ezzel eléri azt, hogy ha a felhasználó valamelyik folyamatot leállítja, akkor a másik újraindítja azt, így a trójai folyamatosan működőképes marad. A kártevő legfontosabb feladata, hogy folyamatosan figyelje a rendszert, és bizalmas adatokat gyűjtögessen. Ennek érdekében többek között az alábbi műveleteket végzi:
- billentyűleütések figyelése
- folyamatok listázása
- folyamatok leállítása
- a Windows Intéző leállítása
- fájlok listázása és másolása
- összegyűjtött információk interneten keresztül történő továbbítása
Amikor a Vidoor.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
C:\Directory\system.exe
C:\Windows\System32\\\pc.exe - Mind a két fenti .exe fájlt elindítja. Az ezekhez tartozó folyamatok egymást figyelik, és ha az egyik leáll, akkor a másik azonnal újraindítja azt.
- A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default)
= “C:\Windows\System32\\\pc.exe”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cliente
= “C:\Windows\System32\\\pc.exe” - Megpróbál cserélhető és hálózati meghajtókon keresztül terjedni. Minden adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf nevű állományt hoz létre.
- Folyamatosan figyeli a rendszer működését és adatokat gyűjtöget.
- Az összegyűjtött információkat interneten keresztül továbbítja a támadók szervereire.