Ableger des E-Threat-Droppers treten zu Zeit in Form von Cracks oder Zugangsschlüsselgeneratoren (Key-Generator) für verschiedene prominente Anwendungen, wie z. B. Microsoft Office 2010, auf, aber auch bei Spielen etc.
Sobald der User den verseuchten Crack oder Patch heruntergeladen hat, installiert der Dropper unbemerkt das ZeroAccess-Rootkit, indem er willkürlich einen Treiber überschreibt.
Seine Daten bzw. seinen Schadcode speichert der Übeltäter anschließend im Verzeichnis „%SYSTEMROOT%\system32\config\“ unter einer zufälligen Bezeichnung ab.
Dadurch führt sich bei jedem Boot-Vorgang ab sofort „Rootkit.Sirefef“ aus anstelle des ursprünglichen Treibers. Um sich noch weiter zu schützen, infiziert ZeroAccess nach dem Zufallsprinzip eine weitere ausführbare Datei aus dem „system32“-Ordner. Sollte das Rootkit inaktiv werden, infiziert die zuvor kompromittierte Datei das System aufs Neue.
Darüber hinaus versucht der Schädling, die am System installierte Sicherheitssoftware zu deaktivieren. Manche Antivirenprogramme halten diesen Angriffen nicht stand und werden gelöscht, wodurch der PC plötzlich völlig ungeschützt ist und Attacken durch andere Malware ausgeliefert ist.
Nutzer der Bitdefender-Software sind vor ZeroAccess geschützt, da alle Security-Suiten diesen E-Threat erkennen und entfernen können
