Sechs Einzelmodule für maximale Ausbeute

Im Einzelnen nutzt jeder Ilomo-Knoten zwei »Command & Control«-Server (C&C), so genannte Gates, über deren Kontakt die Malware sich mit weiteren Listen von Gates oder direkten Instruktionen versorgt. Meist handelt es sich hierbei um korrumpierte Web-Server.

Der eigentliche Schadcode hinter Ilomo kommt als Binär-Datei und besteht aus den zwei Komponenten »Dropper« und »Main Executable«. Der Dropper lädt dabei bis zu sechs Dateien herunter, um den Virus auf dem System zu installieren: »Socks«, »Prot«, »Loggertext«, »Spread«, »Info« und »Accounts«. Socks ermöglicht es den Hintermännern, über die infizierte Maschine weitere Verbindungen zu routen. Prot ist der eigentliche Dieb unter den einzelnen Teilen und stiehlt Passwörter und Logins vom infizierten Rechner. Die Aufgabe des Logger besteht darin, alle Http-Post/-Get-Anfragen aufzuzeichnen, die zu einer bestimmten Liste von Websites gehen.

Um sich auf andere Maschinen zu kopieren und installieren, nutzt die Malware PsExec und die Login-Daten eines Domain-Administrators. Diese hat Illomo entweder über einen Trojaner oder es hat sich jemand mit solchen Rechten auf dem infizierten Rechner angemeldet. Da Ilomo als Proxy-Server arbeitet, kann es Verbindungen über den infizierten Rechner leiten, um weniger aufzufallen, wenn es sich an gestohlenen Accounts anmeldet.