A Camec.A esetében alapvetően két fertőzési fázist különböztethetünk meg. Először ugyanis a trójai - elsősorban kártékony weboldalakon keresztül - rákerül a számítógépekre, majd a Windows egyik rendszerkönyvtárába létrehoz egy dll kiterjesztésű állományt. Ezt követően, a második lépésként csatlakozik egy távoli szerverhez, amelyről egy további ártalmas fájlt tölt le, amelyet elment a Windows rendszerkönyvtárába.
Az Isidor Biztonsági Központ közleménye szerint a Camec.A a letöltött DLL-fájlt arra használja fel, hogy az Internet Explorerbe - BHO objektumként - folyamatosan megfigyelhesse a felhasználó tevékenységét. Amennyiben a böngészőben Hotmail, MSN, stb. weboldalak megnyitására kerül sor, akkor a trójai aktivizálódik, és elkezd bizalmas adatok után kutatni. Elsősorban felhasználóneveket és jelszavakat igyekszik összegyűjteni, amelyeket aztán egy távoli szerverre feltölt.
Amikor a Camec.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%soundupkd.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA="0x00000000"
Ezzel kikapcsolja az UAC (User Account Control) biztonsági funkciót.
3. Interneten keresztül csatlakozik egy távoli szerverhez, amelyről további kártékony összetevőket ment le, majd frissíti a saját fájljait.
4. Amennyiben sikerül számára a letöltés, akkor létrehozza a következő fájlt:
%System%shdoflash.dll
5. Egy BHO (Browser Helper Object) objektumot regisztrál be az Internet Explorerhez.
6. Amennyiben a felhasználó az alábbi weboldalakat tekinti meg, akkor aktivizálódik, majd bizalmas adatokat gyűjt:
bancobrasil.com.br
bradesco.com.br
caixa.gov.br
hotmail.com
live.com
msn.com
santandernet.com.br
7. Az összegyűjtött adatokat feltölti egy előre meghatározott távoli szerverre.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
