Az Ebod trójai a webböngészők folyamatos figyelésével különböző adatokat valamint rendszerinformációkat szivárogtat ki a fertőzött rendszerekről.
Az Ebod trójai nem végez különösebben sok módosítás a számítógépeken, inkább alattomosan meglapul a rendszereken. A kártékony program elsősorban a böngészőkbe próbál beépülni annak érdekében, hogy folyamatosan kémlelhesse a felhasználó internetezési szokásait. Összegyűjti a webes keresők által megjelenített találati listákat, valamint a böngészők előzményeinek listáját. A megkaparintott információkat időközönként feltölti egy előre meghatározott távoli szerverre. Ezek mellett az alábbi adatokat is továbbítja a terjesztői számára:
- számítógép neve
- MAC-cím
Az Isidor Biztonsági Központ jelentése szerint a trójai az Internet Explorer valamint a Firefox esetében is képes ellátni a feladatát.
Amikor az Ebod trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\smc.exe
2. A Windows Temp könyvtárába bemásol egy fájlt az alábbiak szerint:
%Temp%\install_flash_player.exe
3. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"smc" = "%System%\smc.exe"
4. Csatlakozik egy előre meghatározott távoli szerverhez.
5. Rendszerinformációkat gyűjt össze.
6. Folyamatosan monitorozza az Internet Explorer, illetve a Firefox segítségével végzett böngészést, és időközönként feltölti a keresőkben megjelenő találati listákat valamint a böngészők előzménylistáját egy távoli szerverre.
7. Átirányításokat végez a webböngészőkben.
Az Ffsearch trójai a webes keresők által megjelenített weboldalak manipulálásával próbálja a felhasználókat különféle weboldalakra átirányítani.
Az Ffsearch trójai nem végez különösebben sok módosítást a fertőzött rendszereken, és a működési elve is meglehetősen egyszerű. A kártékony program megpróbál a webböngészőkbe beépülni annak érdekében, hogy folyamatosan figyelemmel tudja kísérni a felhasználó tevékenységét az interneten történő barangolás során. Amennyiben a böngészőben valamely webes kereső jelenik meg, akkor a találatok listájában szereplő hivatkozásokat módosítja. Ezzel eléri, hogy minden különösebb feltűnés nélkül különböző weblapokra irányítsa át a felhasználót.
Az Isidor Biztonsági Központ jelentése arról árulkodik, hogy az Ffsearch nem csak vaktában végzi az átirányításokat. A feladatának elvégzéséhez ugyanis egy titkosított, konfigurációs állományt szerez be az Interneten keresztül, amely azokat a webcímeket tartalmazza, melyekre a felhasználót el kell "vezetnie".
Amikor az Ffsearch trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
[aktuális könyvtár]\nkavnxe.exe
%System%\netcfgx.dll:Zone.Identifier
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32\"(Default)" = "%System%\netcfgx.dll:Zone.Identifier"
Ezzel beregisztrált egy COM-objektumot.
3. Az előzőekben létrehozott netcfgx.dll:Zone.Identifier nevű állományát hozzáfűzi a nectfgx.dll fájlhoz. Ezzel biztosítja azt, hogy minél tovább tudjon rejtve maradni.
4. Letölt egy titkosított állományt egy előre meghatározott távoli szerverről.
5. Az Internet Explorerben valamint a Firefoxban megjelenő webes keresők esetében átirányításokat végez. Ennek érdekében módosítja a keresők által legenerált weblapokat, és olyan linkeket helyez el, amelyeket a korábban beszerzett konfigurációs állományból olvas ki.