A ButterflyBot.A féreg feladata, hogy a fertÅ‘zött rendszereken olyan módosÃtásokat hajtson végre, amelyek eredményeként a PC-k egy botnet hálózathoz válnak csatlakoztathatóvá. Amennyiben a kártevÅ‘nek mindezt sikerül elérnie, akkor az áldozatául esett számÃtógép teljesen kiszolgáltatottá válik.
Az Isidor Biztonsági Központ közleménye szerint a ButterflyBot.A számos módon képes terjedni. ElsÅ‘sorban a cserélhetÅ‘ meghajtókat választja újabb rendszerek megfertÅ‘zéséhez, de nem riad vissza az azonnali üzenetküldÅ‘kön valamint a fájlcserélÅ‘ hálózatokon való terjedéstÅ‘l sem. Amennyiben MSN Messengert észlel a PC-n, akkor a cÃmjegyzékben szereplÅ‘ személyek számára kártékony linkeket tartalmazó üzeneteket küld.
A ButterflyBot.A a Windows FeladatkezelÅ‘jében - az esetek többségében - nem látható, ugyanis az explorer.exe folyamat megfertÅ‘zésével próbál rejtve maradni a rendszereken. A kártékony program képes a saját állományainak rendszeres lefrissÃtésére, valamint a botnet üzemeltetÅ‘itÅ‘l származó parancsok fogadására és végrehajtására.
Amikor a ButterflyBot.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
C:\RECYCLER\[véletlenszerű karakterek]\SYSDATE.EXE
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman = C:\RECYCLER\[véletlenszerű karakterek]\sysdate.exe
3. Megfertőzi az explorer.exe nevű folyamatot.
4. Interneten keresztül fájlokat tölt le.
5. LefrissÃti a saját állományait.
6. Bizalmas adatokat (például jelszavakat) gyűjt össze.
7. A fertÅ‘zött számÃtógépet egy botnethez csatlakoztatja.
8. Bemásolja a saját állományát a cserélhető meghajtók gyökérkönyvtárába, majd azokon egy AUTORUN.INF nevű fájlt is létrehoz.
9. Megpróbál MSN Messengeren keresztül tovább terjedni. A cÃmjegyzékben szereplÅ‘ személyek számára egy kártékony weboldalra mutató hivatkozást tartalmazó üzenetet küld ki.
10. Bemásolja magát a fájlcserélő alkalmazások megosztott könyvtáraiba. A fájljainak nevét jól ismert szoftverek nevéből képzi.
