Az Ovagur vírus elsősorban exe kiterjesztésű fájlok révén terjed, és nemcsak saját magával, hanem másik két trójai programmal is igyekszik megfertőzni a kiszemelt számítógépeket.

Az Ovagur vírus számos fájlt hoz létre a fertőzött számítógépeken, majd módosítja a regisztrációs adatbázist. Ezt követően folyamatosan figyeli a D-Z betűjelű meghajtókat. Amennyiben ezek között cserélhető vagy hálózati meghajtókat talál, akkor azokon megpróbálja megfertőzni az exe kiterjesztésű állományokat. Eközben a saját fájljait egy rootkit komponens révén elrejti.

Az Ovagur vírus saját magán kívül még egy Dropprer és egy Haxdoor.N trójait is telepít a számítógépekre.

Amikor az Ovagur vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\ocmsn.old
%System%\NvVid.sys
%System%\NvVid.exe
%Windir%\ocmsn.log
%Windir%\ocgen.log

2. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\N vVideoCenter
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\ LEGACY_NVVIDEOCENTER

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja az
“NvVideoCenter” = “%SYSTEM%\NvVid.exe” értéket.

4. Rootkit technikák révén elrejti a fájljait.

5. A D-Z meghajtókon rendszeres időközönként .exe kiterjesztésű fájlokat keres.

6. Amennyiben cserélhető vagy hálózati meghajtón 200 000 bájtnál nagyobb méretű .exe kiterjesztésű fájlt talál, akkor azt megfertőzi.

7. Létrehozza a következő fájlt, ami egy Dropper trójait tartalmaz:
%Temp%\tmp107.tmp

8. Létrehozza a következő fájlokat, amik egy Haxdoor.N trójaihoz tartoznak:
%Temp%\[véletlenszerű számok].gif
%System%\dvb03a.dll
%System%\dvb03a.sys
%System%\dvb06a.sys
%System%\qo.sys
%System%\qo.dll.