A Spaxe trójai a számítógépek megfertőzése után különböző kártékony fájlokat próbál meg letölteni különböző webszerverekről, majd azokat le is futtatja.

A Spaxe legfőbb célja, hogy különböző kártékony programok töltsön le a fertőzött számítógépekre. A trójai a Windows Tálcájának jobb oldalán folyamatosan egy kis üzenetet jelenít meg, amelyre ha a felhasználó rákattint, akkor azonnal elkezdi letölteni az előre meghatározott állományokat.

Amikor a Spaxe trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. A Windows System könyvtárába létrehoz egy svchosts.dll nevű állományt.

2. A regisztrációs adatbázis
HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECF B10AB72}\InProcServer32
HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A2D9D3F0-8C2 A-2A1D-A376-1BECFB10AB72}\InProcServer32
kulcsaihoz hozzáadja a
“Default” = “%System%\svchosts.dll”
“Default” = “%System%\svchosts.dll”
vagy a
“Default” = “%AppData%\Microsoft\svchosts.dll”
“Default” = “%AppData%\Microsoft\svchosts.dll” értékeket.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\ShellServiceObject
kulcsaihoz hozzáadja a
“{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}” = “Reload Browse” értéket.

4. Kitörli a következő kulcsokat a regisztrációs adatbázisból:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Explorer\SharedTaskScheduler”Advanced Features”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\ShellServiceObject”Advanced Features”

5. Lefuttatja az alábbi parancsokat:
rundll32 %AppData%\Microsoft\svchosts.dll,install
rundll32 %System%\svchosts.dll,install

6. Megvizsgálja, hogy a fertőzött számítógépen van-e egy “SpyAxe” nevű alkalmazás telepítve. Amennyiben nem akkor letölti és telepíti azt.

7. A Windows Tálcájánál egy kis üzentet jelenít meg az alábbi szöveggel:
“Your computer is infected!
Windows has detected spyware infection.
It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware.”

Amennyiben a felhasználó rákattint erre az üzenetre, akkor a trójai fájlokat kezd el letölteni az Internetről.