A Behdevy trójai az Interneten keresztül töltöget le különféle kártékony fájlokat a fertőzött számítógépekre.

A Behdevy trójai elsősorban kéretlen elektronikus levelek révén terjed. A kártékony program legfontosabb célja, hogy az Interneten keresztül különféle fájlokat töltsön le, amelyek többnyire ártalmas programokhoz tartoznak. Ezek lehetnek trójai-, kém- vagy reklámprogramok is.

A Behdevy először olyan állományokkal dolgozik, amelyekben számára fontos információk vannak. Ezekből olvassa ki, hogy milyen címekről kell letöltenie a káros állományokat, és azokat hová mentse a fertőzött számítógépeken. Az elérési útvonalban általában a Windows gyökér könyvtára vagy az operációs rendszerhez tartozó System, illetve Temp mappa szerepel.

A trójai képes megfertőzni az iexplore.exe nevű folyamatot, amely mögül végzi a kártékony tevékenységét. Így a Windows Feladatkezelőjében sem jelenik meg.

Kártevőket terjeszt a Behdevy trójai

Amikor a Behdevy trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %Documents and Settings%\All Users\
    Application Data\Microsoft\Network\Downloader\qmgr0.dat
    %Documents and Settings%\All Users\
    Application Data\Microsoft\Network\Downloader\qmgr1.dat
    Az ezekben szereplő információk alapján végzi majd a kártékony tevékenységét.
  2. Interneten keresztül egy fájlt tölt le, amelyet a Windows gyökér könyvtárába vagy az operációs rendszer System, illetve Temp mappájába ment el.
  3. Egy szintén az interneten keresztül letöltött állomány révén megfertőzi az iexplore.exe folyamatot.
  4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\BITS
    HKLM\SYSTEM\CurrentControlSet\Services\BITS\Enum