A ZefarchRisk trójai mind az Internet Explorer, mind a Firefox felhasználóinak böngészési szokásait képes kikémlelni, és kártékony weboldalak megjelenítésével számos kockázatnak kitenni a számítógépeket.

A ZefarchRisk trójai készítői sem az Internet Explorer, sem a Mozilla Firefox webböngésző felhasználóival nem akartak kivételezni, ezért a kártékony programjukat úgy írták meg, hogy az mindkét népszerű alkalmazás esetében képes legyen ellátni a feladatait. A trójai a Firefoxba különféle bővítményeket telepít, melyek révén képes figyelni és módosítani a leggyakrabban használt webes keresők által megjelenített találatokat. Így a Google, a Yahoo, az AOL stb. esetében is egy-egy olyan JavaScript kódot szúr be a keresési eredmények közé, amely egy előre meghatározott kártékony weboldalra mutat.

A trójai az Internet Explorerhez egy BHO objektumot regisztrál be, amely nem a weboldalak tartalmát figyeli, hanem a felhasználó által meglátogatott webhelyek címét. Amennyiben ebben különféle, előre meghatározott kifejezéseket vél felfedezni, akkor egész egyszerűen átirányítja a böngészőt különféle rosszindulatú weblapokra.

 Vírushíradó - Böngészőket bolondít meg a ZefarchRisk trójai

Amikor a ZefarchRisk trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt:
    %Windir%\[véletlenszerű karakterek].dll
    %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome.manifest
    %UserProfile%\Application Data\Mozilla\Firefox\Extensions\install.rdf
    %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\_cfg.js
    %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\c.js
    %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\overlay.xul
  2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    “[véletlenszerű karakterek]” = “rundll32.exe “%Windir%\[RANDOM CHARACTERS].dll”,e”
  3. Beregisztrál egy BHO objektumot az Internet Explorerhez:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\[véletlenszerű CLSID]”(Default)” =
    “%Windir%\[véletlenszerű karakterek].dll”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\[véletlenszerű CLSID]”(Default)” =
    “%Windir%\[véletlenszerű karakterek].dll”
  4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
    HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\sample@example.net
  5. A Firefox esetében folyamatosan figyelemmel kíséri a következő keresőkben végzett műveleteket:
    google
    yahoo
    aol.com
    live
    msn
    ask.com
  6. A keresési eredmények közé egy JavaScript kódot fűz, amely egy előre meghatározott távoli szerverre mutat.
  7. Egy Internet Explorerbe integrált BHO objektum révén monitorozza a felhasználó által megadott URL-eket, majd egyes esetekben átirányításokat végez különféle, kártékony weboldalakra.