A Prefsap.B trójai nagyon egyszerű felépítéssel rendelkezik, ennek ellenére “ügyesen” képes felhasználóneveket és jelszavakat megszerezni.
A Prefsap.B trójairól több biztonsági cég is beszámolt. Így például a CA, a Trend Micro és a Kaspersky is. A kártékony program jellegzetessége, hogy a kiszemelt számítógépeken mindössze három fájlt hoz létre, és nem végez egyéb telepítési műveleteket. A trójai csak arról gondoskodik, hogy az Internet Explorer, az Opera, valamint a Mozilla Firefox webböngészők indításakor automatikusan be tudjon töltődni.
A Prefsap.B folyamatosan monitorozza az FTP-kapcsolatokat. Amennyiben a felhasználó FTP-n keresztül csatlakozik egy távoli szerverhez, akkor a trójai megpróbálja megszerezni a kapcsolódáshoz használt felhasználónevet és jelszót.
Amikor a Prefsap.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
C:\Program Files\Internet Explorer\setupapi.dll
C:\Program Files\Opera\setupapi.dll
C:\Program Files\Mozilla Firefox\setupapi.dll - Amikor az Internet Explorer, az Opera vagy a Mozilla Firefox elindul, akkor a trójai is aktivizálódik.
- Folyamatosan monitorozza az FTP-kapcsolatokat.
- Felhasználóneveket és jelszavakat gyűjt össze.