A ZefarchRisk trójai mind az Internet Explorer, mind a Firefox felhasználóinak böngészési szokásait képes kikémlelni, és kártékony weboldalak megjelenítésével számos kockázatnak kitenni a számítógépeket.
A ZefarchRisk trójai készítői sem az Internet Explorer, sem a Mozilla Firefox webböngésző felhasználóival nem akartak kivételezni, ezért a kártékony programjukat úgy írták meg, hogy az mindkét népszerű alkalmazás esetében képes legyen ellátni a feladatait. A trójai a Firefoxba különféle bővítményeket telepít, melyek révén képes figyelni és módosítani a leggyakrabban használt webes keresők által megjelenített találatokat. Így a Google, a Yahoo, az AOL stb. esetében is egy-egy olyan JavaScript kódot szúr be a keresési eredmények közé, amely egy előre meghatározott kártékony weboldalra mutat.
A trójai az Internet Explorerhez egy BHO objektumot regisztrál be, amely nem a weboldalak tartalmát figyeli, hanem a felhasználó által meglátogatott webhelyek címét. Amennyiben ebben különféle, előre meghatározott kifejezéseket vél felfedezni, akkor egész egyszerűen átirányítja a böngészőt különféle rosszindulatú weblapokra.
Amikor a ZefarchRisk trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%Windir%\[véletlenszerű karakterek].dll
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome.manifest
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\install.rdf
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\_cfg.js
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\c.js
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\overlay.xul - A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“[véletlenszerű karakterek]” = “rundll32.exe “%Windir%\[RANDOM CHARACTERS].dll”,e” - Beregisztrál egy BHO objektumot az Internet Explorerhez:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\[véletlenszerű CLSID]”(Default)” =
“%Windir%\[véletlenszerű karakterek].dll”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\[véletlenszerű CLSID]”(Default)” =
“%Windir%\[véletlenszerű karakterek].dll” - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\sample@example.net - A Firefox esetében folyamatosan figyelemmel kíséri a következő keresőkben végzett műveleteket:
google
yahoo
aol.com
live
msn
ask.com - A keresési eredmények közé egy JavaScript kódot fűz, amely egy előre meghatározott távoli szerverre mutat.
- Egy Internet Explorerbe integrált BHO objektum révén monitorozza a felhasználó által megadott URL-eket, majd egyes esetekben átirányításokat végez különféle, kártékony weboldalakra.