A Starimp.AX trójai bizalmas adatok kiszivárogtatásával és a nehezen helyreállítható módosításaival okozhatja a legtöbb kárt, illetve kellemetlenséget.
A Starimp.AX trójai egy windowsos szolgáltatást hoz létre, minek eredményeként az operációs rendszer minden egyes betöltődésekor el tud indulni. A kártevő arra is képes, hogy a már meglévő szolgáltatásokhoz tartozó állományokat fertőzzön meg, és ezzel ártalmatlannak látszó windowsos összetevők mögé rejtőzzön el. A trójai a Windows tűzfalát is képes megkerülni, amelyet az operációs rendszer egyik rendszerállományának felhasználásával tesz meg. Ezt követően pedig bizalmas adatokat igyekszik összegyűjteni, amelyeket egy előre meghatározott szerverre tölt fel. A kártevő az internetezés során elmentett felhasználónevek és jelszavak után kíváncsiskodik, és elsősorban kártékony weboldalakról kerül rá a kiszemelt számítógépekre, amelyekre számos további kártékony programot is képes letölteni.
Amikor a Starimp.AX trójai elindul, akkor az alábbi műveleteket hatja végre:
- A regisztrációs adatbázisban létrehozza a következő kulcsokat
HKLM\System\CurrentControlSet\Control\MPRServices\TestService
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod
Ezekhez hozzáilleszti az alábbi értékeket:
DllName = “gzipmod.dll”
Startup = “gzipmod”
Impersonate = dword:00000001
Asynchronous = dword:00000001
MaxWait = dword:00000001
adrn = “[véletlenszerű számok]” - Létrehozza a következő fájlokat:
%System%gzipmod.dll
%System%vbagz.sys - Letörli az alábbi állományt:
%Documents and Settings%All UsersStart MenuProgramsStartup ewrnj.exe - Létrehoz egy “VBA PnP Driver” nevű szolgáltatást.
- A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLMSYSTEMCurrentControlSetServicesvbagz
HKLMSYSTEMCurrentControlSetControlSafeBootMinimalvbagz.sys
HKLMSYSTEMCurrentControlSetControlSafeBootNetworkvbagz.sys - A vbagz.sys állomány révén különféle windowsos szolgáltatásokhoz tartozó drivereket próbál megfertőzni.
- Az internetezés során keletkező átmeneti állományok, és az elmentett felhasználónevek és jelszavak összegyűjtése után a bizalmas adatokat egy előre meghatározott távoli szerverre tölti fel.
- Interneten keresztül különböző állományokat tölt le, és ment el a Windows System32 könyvtárába.
- A rundll32.exe állomány felhasználása révén megpróbálja megkerülni a Windows beépített tűzfalát. A regisztrációs adatbázisban pedig módosítja az alábbi bejegyzést:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\%System%\
undll32.exe = “%System% undll32.exe:*:Enabled:rundll32” - Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.