Avalanec

Amikor az Avalanec trójai rákerül egy számítógépre, akkor mindössze két állományt hoz létre a Windows egyik rendszerkönyvtárába. Ezek közül az egyik egy konfigurációs fájl, amelyet a kártékony program folyamatosan frissít. Erre azért van szükség, mert e fájl alapján látja el a további tevékenységét. A trójai a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Emellett olyan változtatásokat eszközöl, amelyek révén meg tudja kerülni a Windows beépített tűzfalát.

A trójai által nyitott hátsó kapun keresztül a támadók az alábbi műveleteket hajthatják végre:
- konfigurációs állomány frissítése
- rendszerinformációk lekérdezése
- fájlok letöltése és futtatása
- a trójai proxy-ként való használata.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza az alábbi állományt:
%System%\sysservice.exe

2. Létrehozza a következő konfigurációs fájlt:
%System%\sysservice.dll

3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Startup Manager" = "%System%\sysservice.exe"

4. A regisztrációs adtabázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\"%System%\sysservice.exe" = "%System%\sysservice.exe:*:Enabled:DNS client"

5. Egy előre meghatározott távoli szerverről frissíti a konfigurációs állományát.

6. Nyit egy hátsó kaput.