Közösségkedvelő féreg

A Koobface.A féreg néhány fájl létrehozása, valamint a regisztrációs adatbázis módosítása után rögtön nekilát feltérképezni a fertőzött számítógépeket. A kártékony program olyan fájlokat (cookie-kat) keres, amelyek arra utalnak, hogy a felhasználó különböző közösségépítő weboldalakat is előszeretettel látogat. Amennyiben nem talál ilyen állományokat, akkor eltávolítja saját magát a rendszerből. Ezáltal a felhasználó észre sem veszi, hogy egy kis időre fertőzötté vált a PC-je. Ha azonban ráakad olyan fájlokra, amelyek azt bizonyítják, hogy a számítógépen található böngészőben esetenként közösségépítő weboldalak is megjelennek, akkor a féreg különböző beállításokat eszközöl. Ezek révén - megtévesztő módon - eléri, hogy a felhasználó webböngészőjébe kártékony weblapok töltődjenek le. Vagyis a Koobface.A különböző átirányításokkal próbál további kártékony állományokat rátelepíteni a már amúgy is fertőzött rendszerekre.

Amikor a Koobface.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
c:\windows\mstre6.exe
c:\windows\tmark2.dat

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "c:\windows\mstre6.exe"

3. A regisztrációs adatbázisból kitörli a következő kulcsot:
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating

4. Megjelenít egy "Error" címsorral rendelkező üzenetablakot, amely a következő szöveget tartalmazza:
"Error installing Codec. Please contact support."

5. Olyan cookie-kat keres a fertőzött számítógépeken, amelyek közösségépítő weboldalakhoz tartoznak. Amennyiben nem talál ilyen fájlokat, akkor eltávolítja saját magát a rendszerből.

6. Amennyiben talál közösségépítő weboldalak megtekintésére utaló fájlokat, akkor különböző beállításokat módosít, amelyek révén a felhasználókat képes megtéveszteni, és egy kártékony weboldalra átirányítani a böngészőket.