A Bobax.AA vírus speciális algoritmusok segítségével illetve internetes keresők felhasználásával nagyon gyorsan kezdett elterjedni az Interneten.

A Bobax.AA egy meglehetősen komplex működésű féreg. Elsősorban elektronikus leveleken keresztül terjed, amelyek tartalmát különböző speciális algoritmusok segítségével állítja össze. A szükséges email címeket pedig nemcsak a megfertőzött számítógépről gyűjti össze, ugyanis internetes keresők felhasználására is képes.

A Bobax.AA szolgáltatásmegtagadási támadást kezdeményez egy előre meghatározott weboldal ellen, majd egy hátsó kaput nyit a támadók számára. A féreg szeptember 15. után automatikusan eltávolítja magát a fertőzött számítógépekről.

Amikor a Bobax.AA elindul, akkor az alábbi műveleteket hajtja végre:

1. Leellenőrzi a rendszerdátumot, és amennyiben az 2005. szeptember 15. utáni dátumot mutat, akkor eltávolítja magát a rendszerből.

2. Létrehoz egy mutexet annak érdekében, hogy csak egy példányban fusson a rendszerben.

3. Különböző folyamatokat állít le, köztük olyanokat is, amelyek biztonsági szoftverekhez tartoznak.

4. Létrehozza a következő fájlokat:
%Windir%\services.exe
%Windir%\msdefr.exe
c:\Autorun.inf

5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
kulcsához hozzáadja az
“RPCserv32g” = “%Windir%\services.exe” értéket.

6. Összegyűjti a Windows címjegyzékéből és különböző kiterjesztésű fájlokból az email címeket.

7. A google.com és az accoona.com felhasználásával további email címeket keres.

8. Az összegyűjtött email címekre továbbküldi saját magát. A fertőzött levelek tárgyát és üzenetét meglehetősen bonyolult algoritmusok alapján egy előre meghatározott listából állítja össze. A levelek mellékletébe .doc, .txt, .info, .pif, .scr vagy .exe kiterjesztésű fájlt helyez el.

9. Szolgáltatásmegtagadási támadást kezdeményez a “www.rit.edu” ellen.

10. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott porton keresztül.

11. A 4242-es vagy a 4661-es portokon keresztül megpróbál távoli számítógépekhez csatlakozni.

12.Fájlokat tölt le az Internetről.