Az Eboscro féreg viszonylag egyszerű működése ellenére jelentősen képes meggyengíteni a fertőzött számítógépek védelmi rendszerét, és egy hátsó kaput is nyit az érintett rendszer.

Az Eboscro féreg elsősorban hálózati illetve cserélhető adattárolókhoz kapcsolódó meghajtók révén terjed. A féreg arról is gondoskodik, hogy az adattároló elérhetővé válásakor azokról automatikusan elinduljon.

Az Eboscro leállítja a biztonsági szoftverekhez tartozó folyamatokat, és ezzel további kártevőknek teszi kiszolgáltatottá a már amúgy is fertőzött rendszereket. Mindezek mellett egy hátsó kaput is nyit, amelyen keresztül a támadók különböző kártékony műveleteket hajthatnak végre.

Amikor az Eboscro féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\hdcu.exe
%System%\iexplore.exe
%System%\aKiller.dll

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“ShellEffect” = “%System%\iexplore.exe” értéket.

3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_CLASSES_ROOT\aKiller.TAdKillerBHO
HKEY_CLASSES_ROOT\CLSID\{A692062A-11A1-461B-BE98-B987F 01F96FC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion
\Explorer\Browser Helper Objects\{A692062A-11A1-461B-BE98-B987F01F96FC}

4. Hálózati valamint cserélhető meghajtókon létrehozza a következő bejegyzéseket:
[meghajtó betűjele]:\escro.exe
[meghajtó betűjele]:\autorun.inf

5. Leállítja a különböző biztonsági szoftverekhez tartozó folyamatokat

6. Nyit egy hátsó kaput a 8111-es TCP porton keresztül, és várakozik a támadók parancsaira. ők az alábbi műveleteket hajthatják végre a féreg segítségével:
– fájlok letöltése, és futtatása
– rendszerinformációk összegyűjtése
– Internet Explorer figyelése.