A Vundo trójai ártalmatlan windowsos folyamatok mögül végzi kártékony tevékenységét.
A Vundo trójai igyekszik minél tovább rejtve maradni a fertőzött számítógépeken. Ennek érdekében olyan fájlokat is felmásol a kiszemelt számítógépekre, amelyek segítségével jól ismert, ártalmatlan folyamatok mögé el tud rejtőzni, majd onnan végrehajtani a feladatát.
A trójai számos módosítást végez a regisztrációs adatbázisban és egy BHO objektumot is létrehoz. Ezt követően különböző konfigurációs állományokat generál, amelyekből két biztonsági másolatot is készít. A Vundo ügyel arra, hogy a saját fájljait ne lehessen könnyedén letörölni, ha ugyanis azokat egy víruskereső vagy a felhasználó megkísérli eltávolítani, akkor azonnal létrehoz egy újabb állományt.
A Vundo trójai véletlenszerű fájlneveket alkalmaz, a terjedése során eddig legtöbbször mégis bkinst.exe néven bukkant fel az Interneten.
Amikor a Vundo trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehoz egy véletlenszerű fájlnévvel ellátott állományt a Windows egy vagy több rendszerkönyvtárába.
- A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*MS Setup
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*WinLogon - A Windows Temp könyvtárába bemásol egy DLL állományt, amelyet arra használ fel, hogy különböző folyamatokat fertőzzön meg, és azok mögé rejtőzzön el. Arról is gondoskodik, hogy ha a felhasználó letöröl egy fertőzött fájlt, akkor azt azonnal újra létrehozza.
- Létrehoz egy BHO (Browser Helper Object) osztályt a következő regisztrációs adatbázisbeli kulccsal:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {68132581-10F2-416E-B188-4E648075325A} - Létrehoz egy INI fájlt, amelyben különböző konfigurációs adatokat tárol.
- A konfigurációs állományról két biztonsági mentést készít .bak1 és .bak2 kiterjesztéssel.