A Tarno.S trójai legfőbb érdekessége, hogy két komponensből épül fel, amelyek mindegyike meglehetősen kártékony műveletek elvégzésére alkalmas.
A Tarno.S trójai legfőbb feladata, hogy jelszavakat szerezzen meg a fertőzött rendszerekről, azokra kártékony fájlokat töltsön le, és meggyengítse a PC-k védelmi rendszerét. A trójai két komponensből épül fel. Az egyik összetevője csak kártékony fájlok letöltésére alkalmas, míg a másik az összes többi művelet elvégzéséért felelős. A Tarno.S elsősorban emailek mellékletéhez tartozó fertőzött fájlok révén kerül rá a számítógépekre. Amennyiben a felhasználó megnyitja ezeket az állományokat, akkor a trójai azonnal megfertőzi a PC-t.
Amikor a Tarno.S elindul, akkor az alábbi műveleteket hajtja végre:
1. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServiceS\S haredaccess\parameters
\Firewallpolicy\StandardProfile\AuthorizedApplications \List
kulcsához hozzáadja a
" [trójai elérési útvonala]" = "[trójai elérési útvonala]:*:enabled:B" értéket
2. Létrehozza a következő állományokat:
%System%\guisetup.exe
%System%\msupdate.dll
3. Regisztrálja a msupdate.dll fájlt. Ezt követően ez az Internet Explorer minden megnyitásakor elindul.
4. Létrehozza a következő bejegyzést a regisztrációs adatbázisban:
HKEY_CLASSES_ROOT\msupdate.MSIE Update Service
5. Folyamatosan naplózza azokat az ablakokat, amelyek címsorában az alábbi szövegek valamelyike szerepel:
gold
cash
bank
pas
log
user
usr
pwd
psw
pw
parol
firma
pin
clave
trans
porcue
memorable
secret
id
6. Naplózza a billentyűleütéseket.
7. Az összegyűjtött információkat a következő fájlokban tárolja el:
%System%\wint.ini
%System%\ierror.rep
%System%\sui.dll
%System%\sei.dll
8. Létrehozza az alábbi állományt:
%System%\winte.html
9. Létrehozza a következő könyvtárakat:
%System%\suskn
%System%\sucontr
%System%\suact
10. Rendszeres időközönként az összegyűjtött adatokat feltölti egy weboldalra.
Forrás : Biztonságportál
