Spammeléssel tölti idejét a Bubnix trójai

A Bubnix.I trójai különböző rootkit komponenseket is bevet annak érdekében, hogy a saját fájljait, illetve a regisztrációs adatbázis egyes kulcsait elrejtse. Ezzel azt igyekszik elérni, hogy minél tovább tudjon észrevétlenül tevékenykedni a fertőzött számítógépeken. Mindez azért is jelent problémát, mert a trójai legfontosabb feladata, hogy a spammerek munkáját segítse, és minél több kéretlen e-mailt küldjön el.

Az Isidor Biztonsági Központ jelentése rávilágít arra, hogy a Bubnix.I a Windows services.exe folyamata mögé rejtőzik el, így a feladatkezelőben sincs különösebb látható jele annak, ha egy számítógépre felkerül. Ugyanakkor a háttérben különféle programokat és konfigurációs adatokat tölt le előre meghatározott szerverekről. Ezek segítségével a spammerek vezérelhetik a kártevőt, és meghatározhatják a spamek címzettjeit, illetve az üzenetek szövegét.

A Bubnix.I az általa megfertőzött "services.exe"-re nagyon "vigyáz", ugyanis ha azt egy biztonsági alkalmazás megkísérli megtisztítani, akkor a trójai ismét megfertőzi a Windows folyamatát.
 
Amikor a Bubnix.I trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\drivers\[véletlenszerű fájlnév].sys
 
2. Rootkit komponensek segítségével elrejti a saját fájlját valamint a regisztrációs adatbázis egyes bejegyzéseit.

3. Megfertőzi a services.exe folyamatot.

4. Amennyiben egy biztonsági szoftver helyreállítaná a "services.exe"-t, akkor a trójai felülírja azt.

5. Csatlakozik egy távoli szerverhez.

6. Interneten keresztül kártékony programokat tölt le, majd telepít fel.

7. Kéretlen elektronikus leveleket kezd el küldözgetni. Ehhez egy távoli szerverről olyan adatokat tölt le, amelyek révén a spamek generálását el tudja végezni.