„Briz.I“
Der erste Trojaner ist Teil einer raffinierten Betrugsmasche. Einfangen kann man sich den Schädling auf Webseiten mit erotischen Inhalten. Von dort aus werden die User auf eine weitere Seite geleitet, welche den tückischen Trojaner automatisch über Sicherheitslücken ins System lädt. Unter der Bezeichnung „iexplore.exe“ schleicht sich Briz.I als ein Prozess des Internet Explorers an Sicherheitsservices von Windows (Firewall) vorbei und deaktiviert diese. Um den Anwender von der Aktualisierung einer Security-Lösung abzuhalten, verändert er die Host-Datei und verhindert dadurch den Zugriff auf entsprechende Seiten, um ungestört Bankdaten und Passwörter zu stehlen. Mit dem Laden einer weiteren Komponente ist die Aufgabe von Briz.I erledigt. Der Trojaner zerstört sich selber. Die neu geladene Komponente versendet indes die gesammelten Informationen an den Programmierer. Zudem installiert sie einen Plug-In, um Tastatureingaben des Users zu protokollieren.
Der betroffene Rechner dient dem Hacker nicht nur zum Entwenden der persönlichen Daten des Users, sondern auch als Gateway zu anderen Webseiten.
Ohne die Interaktion eines Users ist die Infizierung jedoch nicht möglich. Das Öffnen eines E-Mail Anhangs oder das Herunterladen einer Datei aus dem Internet bzw. über P2P Netzwerke startet die Installation.
„Mitglieder.IZ“ und „Bagle.JG“
Bagle.JP verbindet sich mit bestimmten Seiten im Web, um e-Donkey Netzwerke aufzuspüren und eine Kopie von sich selber ins Netzwerk zu setzen. So erscheint der schädliche Code als nützliche Datei. Der Wurm legt einen Zugangspunkt in der Windows Registry und in Hkey_Current_User\Software\FirstrRun an. Damit stellt er sicher, dass er bei jedem Neustart abläuft und der infizierte Rechner für den Hacker markiert wird. Bagle.JG minimiert den Schutz des infizierten Systems, indem er Security Tools abschaltet, um in Folge den Trojaner „Mitglieder.IZ“ in den Rechner zu schleusen. Der Trojaner verdoppelt seinen Code unter dem Namen „Mdelk.exe“ und erstellt einen Registry Key (Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run), um nicht mit dem Ausschalten des PC´s seine Wirkung zu verlieren.
Beide Schädlinge ziehen scheinbar JPG oder PHP Dateien aus dem Internet, die tatsächlich Aktualisierungen des Bagle-Wurms sind.
„BlackAngel.A“
Ein sichtbares Anzeichen für die Präsenz des Wurmes „BlackAngel.A“ ist das Erscheinen einer Fehlermeldung auf dem Bildschirm, wenn die vermeintliche Windows Media Player Datei mit einer doppelten Erweiterung, in der er sich verbreitet, auf den Rechner läuft. Der Wurm transportiert seinen Code über den MSN Messenger und beendet Antiviren-Programme, Firewall-Funktionalitäten sowie einige Windows Tools, wie den Registry Editor oder den Task Manager. BlackAngel.A versendet Kopien an alle aktiven Kontakte des Users. Seine destruktivste Eigenschaft besteht jedoch darin, notwendige Windows Registry Einträge zu löschen.
„DigiKeyGen“
Die Adware lockt User mit kostenfreien Passwörtern zu pornographischen Webseiten. Sie hinterlässt nicht nur den Code „SpywareQuake“ auf dem infizierten Rechner, sondern auch eine Anti-Spyware Applikation zum Desinfizieren des Systems von der soeben eingeschleusten Malware. Das angebliche Anti-Spyware Tool informiert den User über die Infizierung und bietet ihm ein kostenpflichtiges Lizenzprogramm zum Entfernen des Schädlings an – angeblich die einzig effektive Methode, um den Eindringling zu beseitigen.
DigiKeyGen erstellt zwei Dateien im Windows Ordner: „eregperf.exe“ und eine Datei, die zählt, wie oft das Programm abgespielt wurde. Des Weiteren wird folgender Key in der Registry eingefügt, um eine manuelle Desinfizierung zu erschweren: Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.