A Hiloti trójai kifejezetten arra specializálódott, hogy a fertőzött rendszereken folyamatosan figyelemmel kísérje a felhasználó webböngészését. Ennek során különböző információkat gyűjt össze a böngészési szokásokkal kapcsolatban, és bizonyos weboldalak esetén megpróbál értékes adatokat zsákmányolni.
Az Isidor Biztonsági Központ jelentése szerint a Hiloti egy hátsó kaput nyit a fertőzött számítógépeken, majd a terjesztőinek szervereiről konfigurációs adatokat tölt le. A későbbiekben ezek alapján végzi a tevékenységét, és próbál bizalmas információkhoz hozzáférést szerezni. A trójai bizonyos időközönként felbukkanó a reklámablakokat jelenít meg, de arra is képes, hogy távoli szerverekről további kártevőket juttasson fel a rendszerekre.
A Hiloti további jellemzője, hogy megakadályozza a Microsoft kártékony programokat eltávolító szoftverének futtatását.
Amikor a Hiloti trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%windir%\[véletlneszerű fájlnév].dll
2. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Qwevonibumer
Ebben a kulcsban a későbbiekben különböző beállításokat tárol el.
3. Megfertőzi a következő folyamatokat:
explorer.exe
iexplore.exe
4. Nyit egy hátsó kaput.
5. Interneten keresztül csatlakozik egy távoli szerverhez, amelyről konfigurációs adatokat tölt le.
6. Interneten keresztül további fájlokat tölt le, majd futtat.
7. Felbukkanó ablakokat jelenít meg.
8. Módosítja a webböngészőkben megjelenő weboldalak HTML kódját, és azokhoz egyes esetekben különböző scripteket is hozzáfűz.
9. Folyamatosan figyelemmel kíséri a felhasználó böngészési szokásait.
10. Bizalmas adatokat gyűjt össze, amelyeket továbbit egy előre meghatározott távoli szerverre. Adatgyűjtést akkor végez, amikor a böngésző címsorában az alábbi karaktersorozatok is szerepelnek:
.bing.com
.live.
.msn.
.google.
.search123.
.teoma.
.wanadoo.
250000.co.uk
alexa.
alltheweb.com
altavista.
aol.
asiaco.
bbc.
11. Leállítja az alábbi folyamatot (amennyiben az létezik):
MRT.exe
KRISTÓF CSABA
Kommentáld!