A Behdevy trójai az Interneten keresztül töltöget le különféle kártékony fájlokat a fertőzött számítógépekre.
A Behdevy trójai elsősorban kéretlen elektronikus levelek révén terjed. A kártékony program legfontosabb célja, hogy az Interneten keresztül különféle fájlokat töltsön le, amelyek többnyire ártalmas programokhoz tartoznak. Ezek lehetnek trójai-, kém- vagy reklámprogramok is.
A Behdevy először olyan állományokkal dolgozik, amelyekben számára fontos információk vannak. Ezekből olvassa ki, hogy milyen címekről kell letöltenie a káros állományokat, és azokat hová mentse a fertőzött számítógépeken. Az elérési útvonalban általában a Windows gyökér könyvtára vagy az operációs rendszerhez tartozó System, illetve Temp mappa szerepel.
A trójai képes megfertőzni az iexplore.exe nevű folyamatot, amely mögül végzi a kártékony tevékenységét. Így a Windows Feladatkezelőjében sem jelenik meg.
Amikor a Behdevy trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%Documents and Settings%\All Users\
Application Data\Microsoft\Network\Downloader\qmgr0.dat
%Documents and Settings%\All Users\
Application Data\Microsoft\Network\Downloader\qmgr1.dat
Az ezekben szereplő információk alapján végzi majd a kártékony tevékenységét. - Interneten keresztül egy fájlt tölt le, amelyet a Windows gyökér könyvtárába vagy az operációs rendszer System, illetve Temp mappájába ment el.
- Egy szintén az interneten keresztül letöltött állomány révén megfertőzi az iexplore.exe folyamatot.
- A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\BITS
HKLM\SYSTEM\CurrentControlSet\Services\BITS\Enum