A Vundo trójai ártalmatlan windowsos folyamatok mögül végzi kártékony tevékenységét.

A Vundo trójai igyekszik minél tovább rejtve maradni a fertőzött számítógépeken. Ennek érdekében olyan fájlokat is felmásol a kiszemelt számítógépekre, amelyek segítségével jól ismert, ártalmatlan folyamatok mögé el tud rejtőzni, majd onnan végrehajtani a feladatát.

A trójai számos módosítást végez a regisztrációs adatbázisban és egy BHO objektumot is létrehoz. Ezt követően különböző konfigurációs állományokat generál, amelyekből két biztonsági másolatot is készít. A Vundo ügyel arra, hogy a saját fájljait ne lehessen könnyedén letörölni, ha ugyanis azokat egy víruskereső vagy a felhasználó megkísérli eltávolítani, akkor azonnal létrehoz egy újabb állományt.

A Vundo trójai véletlenszerű fájlneveket alkalmaz, a terjedése során eddig legtöbbször mégis bkinst.exe néven bukkant fel az Interneten.

Vundo, a ragaszkodó trójai

Amikor a Vundo trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehoz egy véletlenszerű fájlnévvel ellátott állományt a Windows egy vagy több rendszerkönyvtárába.
  2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*MS Setup
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*WinLogon
  3. A Windows Temp könyvtárába bemásol egy DLL állományt, amelyet arra használ fel, hogy különböző folyamatokat fertőzzön meg, és azok mögé rejtőzzön el. Arról is gondoskodik, hogy ha a felhasználó letöröl egy fertőzött fájlt, akkor azt azonnal újra létrehozza.
  4. Létrehoz egy BHO (Browser Helper Object) osztályt a következő regisztrációs adatbázisbeli kulccsal:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {68132581-10F2-416E-B188-4E648075325A}
  5. Létrehoz egy INI fájlt, amelyben különböző konfigurációs adatokat tárol.
  6. A konfigurációs állományról két biztonsági mentést készít .bak1 és .bak2 kiterjesztéssel.