A Pecoan.AD féreg email címeket igyekszik nagy mennyiségben összegyűjteni, és az azokhoz tartozó postafiókokat levélszeméttel elárasztani.

A Pecoan.AD féreg elsősorban cserélhető adattárolókon keresztül terjed. A fertőzött számítógépekre egy konfigurációs állományt tölt le, melynek alapján végzi további tevékenységét. Így például különböző kiterjesztésű állományok átkutatásával a lehető legtöbb e-mail címet igyekszik összegyűjteni. A megszerzett címeket az Interneten keresztül egy előre meghatározott szerverre tölti fel.

A féreg azonban nemcsak arra törekszik, hogy a támadók számára minél több e-mail címet kaparintson meg, hanem arra is, hogy a kiszemelt postafiókokat spamekkel árassza el. A tevékenysége során nemcsak szöveges üzenteket tartalmazó leveket küld, hanem egyes esetekben elektronikus képeslapokkal is igyekszik “kedveskedni” az áldozatul eset postafiókok tulajdonosainak.

A Pecoan.AD féreg képes megkerülni a Windows beépített tűzfalát.

Képeslapokkal kedveskedik a Pecoan féreg

Amikor a Pecoan.AD féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő állományt:
    %Windows%\\\eos.exe
  2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\\eos =
    “%Windows%\\\eos.exe”
  3. Csatlakozik egy távoli szerverhez, ahonnan letölt egy konfigurációs állományt. Ezt a Windows könyvtárába másolja be “crock+mock.config” néven.
  4. A regisztrációs adatbázishoz hozzáadja a következő értéket:
    HKLM\SOFTWARE\Microsoft\Windows\ITStorage\Finders\Counter =
    dword:[véletlenszerű karakterek]
  5. Cserélhető meghajtókon keresztül próbál terjedni. Minden ilyen adattároló gyökér könyvtárába létrehoz egy neos.exe nevű állományt.
  6. Interneten keresztül letölt egy kártékony fájlt, amelyet a Windows könyvtárába ment el edown4.exe néven. Ez egy Sintun.GA nevű vírust tartalmaz.
  7. Megpróbálja megkerülni a Windows beépített tűzfalát a regisztrációs adatbázisban elvégzett, alábbi módosítás segítségével:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List\%Windows%\\\eos.exe =
    “%Windows%\\\eos.exe:*:Enabled:enable”
  8. Különböző kiterjesztésű állományokból e-mail címeket gyűjt össze, amelyeket továbbküld egy távoli szerverre.