A Bayrob trójai a Windows frissítő szolgáltatásának álcázza magát, és így próbál meg bizalmas adatokat megszerezni, illetve egy hátsó kaput nyitni a fertőzött számítógépeken.
A Bayrob trójai a legtöbb esetben a Windows automatikus frissítő szolgáltatásaként próbálja álcázni saját magát. Ennek megfelelően létrehoz egy Windows Update szolgáltatást, majd nyit egy hátsó kaput a 81-as TCP porton. Ezen keresztül kiszolgáltatottá teszi a fertőzött PC-ket, és egy proxy szervert is telepít azokra.
A trójai folyamatosan figyeli a felhasználó által meglátogatott weboldalakat, és az eBay weboldalainak megnyitásakor aktivizálódik.
Amikor a Bayrob trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\windowsupdate.exe
%System%\4033ccf\cfg
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Windows Update” = “C:\WINDOWS\system32\WindowsUpdate.exe”
3. Létrehoz egy “Windows Update” nevű szolgáltatást.
4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W indows Update
5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”IntranetName” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”UNCAsIntranet” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”ProxyBypass” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Connections
6. Létrehozza a következő fájlt:
Data\Mozilla\Firefox\Profiles\[aktuális profil]\user.js
7. Nyit egy hátsó kaput a 80-as TCP porton keresztül, és létrehoz egy proxy-t.
8. Figyeli, hogy a felhasználó mikor látogatja meg az eBay weboldalait.
9. Távoli szerverekhez kapcsolódik.