A Spaxe trójai a számítógépek megfertőzése után különböző kártékony fájlokat próbál meg letölteni különböző webszerverekről, majd azokat le is futtatja.
A Spaxe legfőbb célja, hogy különböző kártékony programok töltsön le a fertőzött számítógépekre. A trójai a Windows Tálcájának jobb oldalán folyamatosan egy kis üzenetet jelenít meg, amelyre ha a felhasználó rákattint, akkor azonnal elkezdi letölteni az előre meghatározott állományokat.
Amikor a Spaxe trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. A Windows System könyvtárába létrehoz egy svchosts.dll nevű állományt.
2. A regisztrációs adatbázis
HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECF B10AB72}\InProcServer32
HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A2D9D3F0-8C2 A-2A1D-A376-1BECFB10AB72}\InProcServer32
kulcsaihoz hozzáadja a
“Default” = “%System%\svchosts.dll”
“Default” = “%System%\svchosts.dll”
vagy a
“Default” = “%AppData%\Microsoft\svchosts.dll”
“Default” = “%AppData%\Microsoft\svchosts.dll” értékeket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\ShellServiceObject
kulcsaihoz hozzáadja a
“{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}” = “Reload Browse” értéket.
4. Kitörli a következő kulcsokat a regisztrációs adatbázisból:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Explorer\SharedTaskScheduler”Advanced Features”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\ShellServiceObject”Advanced Features”
5. Lefuttatja az alábbi parancsokat:
rundll32 %AppData%\Microsoft\svchosts.dll,install
rundll32 %System%\svchosts.dll,install
6. Megvizsgálja, hogy a fertőzött számítógépen van-e egy “SpyAxe” nevű alkalmazás telepítve. Amennyiben nem akkor letölti és telepíti azt.
7. A Windows Tálcájánál egy kis üzentet jelenít meg az alábbi szöveggel:
“Your computer is infected!
Windows has detected spyware infection.
It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware.”
Amennyiben a felhasználó rákattint erre az üzenetre, akkor a trójai fájlokat kezd el letölteni az Internetről.