A Pecoan.AD féreg email címeket igyekszik nagy mennyiségben összegyűjteni, és az azokhoz tartozó postafiókokat levélszeméttel elárasztani.
A Pecoan.AD féreg elsősorban cserélhető adattárolókon keresztül terjed. A fertőzött számítógépekre egy konfigurációs állományt tölt le, melynek alapján végzi további tevékenységét. Így például különböző kiterjesztésű állományok átkutatásával a lehető legtöbb e-mail címet igyekszik összegyűjteni. A megszerzett címeket az Interneten keresztül egy előre meghatározott szerverre tölti fel.
A féreg azonban nemcsak arra törekszik, hogy a támadók számára minél több e-mail címet kaparintson meg, hanem arra is, hogy a kiszemelt postafiókokat spamekkel árassza el. A tevékenysége során nemcsak szöveges üzenteket tartalmazó leveket küld, hanem egyes esetekben elektronikus képeslapokkal is igyekszik “kedveskedni” az áldozatul eset postafiókok tulajdonosainak.
A Pecoan.AD féreg képes megkerülni a Windows beépített tűzfalát.
Amikor a Pecoan.AD féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő állományt:
%Windows%\\\eos.exe - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\\eos =
“%Windows%\\\eos.exe” - Csatlakozik egy távoli szerverhez, ahonnan letölt egy konfigurációs állományt. Ezt a Windows könyvtárába másolja be “crock+mock.config” néven.
- A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKLM\SOFTWARE\Microsoft\Windows\ITStorage\Finders\Counter =
dword:[véletlenszerű karakterek] - Cserélhető meghajtókon keresztül próbál terjedni. Minden ilyen adattároló gyökér könyvtárába létrehoz egy neos.exe nevű állományt.
- Interneten keresztül letölt egy kártékony fájlt, amelyet a Windows könyvtárába ment el edown4.exe néven. Ez egy Sintun.GA nevű vírust tartalmaz.
- Megpróbálja megkerülni a Windows beépített tűzfalát a regisztrációs adatbázisban elvégzett, alábbi módosítás segítségével:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\%Windows%\\\eos.exe =
“%Windows%\\\eos.exe:*:Enabled:enable” - Különböző kiterjesztésű állományokból e-mail címeket gyűjt össze, amelyeket továbbküld egy távoli szerverre.