Kártevőket terjeszt a Behdevy trójai

A Behdevy trójai az Interneten keresztül töltöget le különféle kártékony fájlokat a fertőzött számítógépekre.

A Behdevy trójai elsősorban kéretlen elektronikus levelek révén terjed. A kártékony program legfontosabb célja, hogy az Interneten keresztül különféle fájlokat töltsön le, amelyek többnyire ártalmas programokhoz tartoznak. Ezek lehetnek trójai-, kém- vagy reklámprogramok is.

A Behdevy először olyan állományokkal dolgozik, amelyekben számára fontos információk vannak. Ezekből olvassa ki, hogy milyen címekről kell letöltenie a káros állományokat, és azokat hová mentse a fertőzött számítógépeken. Az elérési útvonalban általában a Windows gyökér könyvtára vagy az operációs rendszerhez tartozó System, illetve Temp mappa szerepel.

A trójai képes megfertőzni az iexplore.exe nevű folyamatot, amely mögül végzi a kártékony tevékenységét. Így a Windows Feladatkezelőjében sem jelenik meg.

Amikor a Behdevy trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %Documents and Settings%\All Users\
   Application Data\Microsoft\Network\Downloader\qmgr0.dat
   %Documents and Settings%\All Users\
   Application Data\Microsoft\Network\Downloader\qmgr1.dat
   Az ezekben szereplő információk alapján végzi majd a kártékony tevékenységét.
2. Interneten keresztül egy fájlt tölt le, amelyet a Windows gyökér könyvtárába vagy az operációs rendszer System, illetve Temp mappájába ment el.
3. Egy szintén az interneten keresztül letöltött állomány révén megfertőzi az iexplore.exe folyamatot.
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\BITS
   HKLM\SYSTEM\CurrentControlSet\Services\BITS\Enum