Die ursprüngliche Version von Slave tauscht lediglich per „Man-in-the-Browser" in zwei Schritten die eingegebenen IBAN-Daten aus und ändert das Empfängerkonto bei einer Überweisung. Die neue Variante hingegen nutzt ausgefeilte Tarnmechanismen und Webinjektionen und ähnelt damit dem berüchtigten Trojaner-Baukasten „Zeus".
Slave kommuniziert mit einem Command & Control Server über einen im Browser erstellten Thread. Beim Browserstart verschickt die Malware einen HTTP-Request für die Webinjektion und erhält sie in Plain-Text als JSON-Objekt. Der Schadcode wird beim Online-Banking injiziert - und ist für jede Bank unterschiedlich. Die manipulierte Konfiguration bleibt dann im Browser gespeichert. Slave kopiert sich selbst in den Autostart-Ordner und erstellt einen automatisch startenden sys.exe Registry-Eintrag. Um unerkannt zu bleiben, legt der Trojaner nach jedem Neustart einen als „Internet Explorer" getarnten Registry-Schlüssel mit einem zufälligen Namen an, der eine Kopie des Binary-Files der Malware startet und nach jedem Neustart anders heißt. Allerdings löscht der Schädling vorherige Einträge nicht, deshalb füllt sich die Registry schnell. Slave zielt auf die drei gängigsten Webbrowser - Internet Explorer, Firefox und Chrome. Nach einer Infektion eines Browsers starten die anderen nicht mehr korrekt.
Slave kommuniziert mit einem Command & Control Server über einen im Browser erstellten Thread. Beim Browserstart verschickt die Malware einen HTTP-Request für die Webinjektion und erhält sie in Plain-Text als JSON-Objekt. Der Schadcode wird beim Online-Banking injiziert - und ist für jede Bank unterschiedlich. Die manipulierte Konfiguration bleibt dann im Browser gespeichert. Slave kopiert sich selbst in den Autostart-Ordner und erstellt einen automatisch startenden sys.exe Registry-Eintrag. Um unerkannt zu bleiben, legt der Trojaner nach jedem Neustart einen als „Internet Explorer" getarnten Registry-Schlüssel mit einem zufälligen Namen an, der eine Kopie des Binary-Files der Malware startet und nach jedem Neustart anders heißt. Allerdings löscht der Schädling vorherige Einträge nicht, deshalb füllt sich die Registry schnell. Slave zielt auf die drei gängigsten Webbrowser - Internet Explorer, Firefox und Chrome. Nach einer Infektion eines Browsers starten die anderen nicht mehr korrekt.
