Sobald die Installation komplett abgeschlossen ist, protokolliert Cimuz.EL alle Internet-Aktivitäten des Users mit, um sensible Informationen (Usernamen, Passwörter, etc.) sowie Computer-Daten (IP, Hardware- und Software-Daten, Standort, etc.) zu speichern und an den Malware-Programmierer weiter zu versenden. Er ist so entwickelt, dass er sowohl die auf dem Rechner gespeicherten Daten aufspürt als auch die vom Nutzer im Internet eingetippten Angaben aufnimmt.
Um den Internet Traffic überwachen zu können, bindet der Trojaner eine DLL (Dynamische Bibliothek) in den Internet Explorer ein. Alle Informationen (Kreditkartennummern, Zugangsdaten, etc.), die der betroffene Anwender nun in Online Formulare eingibt, kann Cimuz.EL dann sammeln und über einem Server versenden. Zudem setzt er Prozessen von Sicherheits-Tools, wie Antivirenprogrammen oder Firewalls, ein Ende und gestaltet so seine Entdeckung noch schwieriger.
Cimuz.EL legt folgende Dateien in der Windows System Directory an:
- ISCA.EXE, welche die Datei HHT24.EXE herunter lädt.
- HHT24.EXE, welche die DLL IPV6MONL.DLL installiert.
- IPV6MONL.DLL, welche den Internet Traffic überwacht.
- QAS.TX im Unterordner DRIVERS.
Anhand von verschiedenen Einträgen in der Windows Registry stellt der Trojaner Cimuz.EL sicher, dass
- er bei jedem Systemstart aktiviert wird
- er als ein BHO (Browser Helper Object), also ein ausführbares Programm, das die Funktionen des Internet Explorers erweitert, registriert ist
- die Erweiterungen im Internet Explorer aktiviert sind, so dass die DLL, die den Traffic kontrolliert, geladen werden kann
- er auf der Liste der für die Firewall autorisierten Programme steht
Der 98,008 Bytes große Trojaner ist in der Programmiersprache Visual C++ v6 geschrieben und verbreitet sich über Internet Downloads, CD’s, infizierte Memory Sticks, E-Mail Anhänge und Sicherheitslücken.