A Relfeer féreg elsősorban fájlcserélő hálózatokon terjed, és az Interneten keresztül különböző kártékony állományokat tölt le a fertőzött számítógépekre.

A Relfeer féreg először fájlcserélő hálózatokon jelent meg. A kártevő a terjedéséről olyan módon gondoskodik, hogy a fájlcserélő szoftverek megosztott könyvtáraiba különböző megtévesztő fájlnevek felhasználásával bemásolja magát.

A Relfeer a kiszemelt számítógépeken rengeteg fájlt hoz létre, majd módosítja a regisztrációs adatbázist. Ezt követően előre meghatározott weboldalakról, illetve FTP szerverekről további kártékony állományokat tölt le.

Amikor a Relfeer féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Temp%\PrgStart\[a féreghez tartozó fájl neve].ppt
C:\WINDOWS\\\eloc32.exe
C:\WINDOWS\system32\updates.exe
C:\WINDOWS\system32\wandrv.exe
C:\WINDOWS\system32\WAN_DR.ULD
C:\WINDOWS\svhst32.exe
%Temp%\config_.exe
%Temp%\sysutil.exe
%Start Menu%\Programs\Startup\[WORM FILE NAME].exe

2. Különböző fájlnevek révén bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba.

3. Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\RunServices”Memory relocation service” = “C:\WINDOWS\\\eloc32.exe -rs”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\RunOnce”Install part II” = “C:\WINDOWS\system32\updates.exe -o”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Microsoft Server Process” = “C:\WINDOWS\svhst32.exe -a”

4. Leteszteli, hogy van-e aktív Internet kapcsolat.

5. Fájlokat tölt le előre meghatározott weboldalakról.

6. Fájlokat tölt le FTP szerverekről.