A Zapchast.ET trójai olyan elektronikus levelekben terjed, amelyek egy Michael Jacksonról készült fényképet is tartalmaznak.

A Zapchast.ET trójai készítői úgy gondolták, hogy Michael Jackson egyik fényképével próbálnak a felhasználók bizalmában férkőzni. Ennek megfelelően a kártékony programjukat olyan spammelt üzenetekben helyezték el, amelyek a gyanútlan felhasználók számára meglehetősen megtévesztőek lehetnek.

A Zapchast.ET a Windows Temp könyvtárába számos új fájlt hoz létre, amelyek egyrészt a trójai saját kódjait tartalmazzák, másrészt a kártevő tevékenységének végrehajtását segítik elő. A trójai ugyanis elsősorban azzal a céllal terjed, hogy a fertőzött rendszereken egy hátsó kaput nyisson, amelyen keresztül a támadók különböző kártékony műveleteket végezhetnek.

Vírushíradó - Michael Jackson fényképe mögé rejtőzik a Zapchast trójai

Amikor a Zapchast.ET trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Megjelenít egy fényképet Michael Jacksonról.
  2. Létrehozza a következő könyvtárat, és azt rejtett, illetve rendszer attribútumokkal látja el:
    %Windows%\Temp\spoolsv
  3. A könyvtárba bemásolja az alábbi állományokat:
    SPOOLSV.EXE
    XMAS.JPG
    A.REG
    RUN.BAT
    ALIASES.INI
    CONTROL.INI
    MIRC.ICO
    REMOTE.INI
    SERVERS.INI
    USERS.INI
    IDENT.TXT
    FULLNAME.TXT
    COM.MRC
    S.MRC
  4. A %Windows%\Temp\spoolsv könyvtárban létrehozza a következő mappákat:
    download
    logs
    sounds
  5. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    spoolsv = C:\Windows\temp\spoolsv\spoolsv.exe
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
    Application = C:\Windows\temp\spoolsv\spoolsv.exe
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
    AppDirectory = C:\Windows\temp\spoolsv\spoolsv.exe
  6. Létrehoz egy Windowsos szolgáltatást, és módosítja a regisztrációs adatbázist:
    HKEY_CURRENT_USER\Software\mIRC
    HKEY_CURRENT_USER\Software\mIRC\Channels
    HKEY_CURRENT_USER\Software\mIRC\License\@ = 5662-546732
    HKEY_CURRENT_USER\Software\mIRC\LockOptions\@ = 0,4096
    HKEY_CURRENT_USER\Software\mIRC\UserName\@ = WhiteHat
  7. Nyit egy hátsó kaput a fertőzött rendszereken.