Vundo, a ragaszkodó trójai

A Vundo trójai ártalmatlan windowsos folyamatok mögül végzi kártékony tevékenységét.

A Vundo trójai igyekszik minél tovább rejtve maradni a fertőzött számítógépeken. Ennek érdekében olyan fájlokat is felmásol a kiszemelt számítógépekre, amelyek segítségével jól ismert, ártalmatlan folyamatok mögé el tud rejtőzni, majd onnan végrehajtani a feladatát.

A trójai számos módosítást végez a regisztrációs adatbázisban és egy BHO objektumot is létrehoz. Ezt követően különböző konfigurációs állományokat generál, amelyekből két biztonsági másolatot is készít. A Vundo ügyel arra, hogy a saját fájljait ne lehessen könnyedén letörölni, ha ugyanis azokat egy víruskereső vagy a felhasználó megkísérli eltávolítani, akkor azonnal létrehoz egy újabb állományt.

A Vundo trójai véletlenszerű fájlneveket alkalmaz, a terjedése során eddig legtöbbször mégis bkinst.exe néven bukkant fel az Interneten.

Amikor a Vundo trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy véletlenszerű fájlnévvel ellátott állományt a Windows egy vagy több rendszerkönyvtárába.
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*MS Setup
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*WinLogon
3. A Windows Temp könyvtárába bemásol egy DLL állományt, amelyet arra használ fel, hogy különböző folyamatokat fertőzzön meg, és azok mögé rejtőzzön el. Arról is gondoskodik, hogy ha a felhasználó letöröl egy fertőzött fájlt, akkor azt azonnal újra létrehozza.
4. Létrehoz egy BHO (Browser Helper Object) osztályt a következő regisztrációs adatbázisbeli kulccsal:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {68132581-10F2-416E-B188-4E648075325A}
5. Létrehoz egy INI fájlt, amelyben különböző konfigurációs adatokat tárol.
6. A konfigurációs állományról két biztonsági mentést készít .bak1 és .bak2 kiterjesztéssel.