A Rinbot.H féreg hálózati megosztásokon keresztül, illetve különböző szoftveres sebezhetőségek révén terjed, és a fertőzött számítógépeket teljes mértékben kiszolgáltatottá teszi a támadásokkal szemben.

A Rinbot.H féreg az IPC$ nevű megosztáson keresztül, előre meghatározott felhasználónevek és jelszavak segítségével próbál meg számítógépről számítógépre terjedni. A féreg a fertőzött számítógépeken véletlenszerűen kiválaszt egy TCP portot, amelyen keresztül folyamatosan figyeli a hálózati adatforgalmat. Emellett fogadja a támadók parancsait, akik az alábbi műveleteket hajthatják végre:
– Rendszerinformációk összegyűjtése
– Fájlok letöltése és futtatása
– HTTP/FTP szerver indítása
– a féreg frissítése
– CD kulcsok megszerzése
– Filemon, Regmon, Ethereal szoftverek felügyelete.

Amikor Rinbot.H féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\mstscc.exe

2. Létrehozza a következő bejegyzést a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Terminal Services” = “%System%\mstscc.exe”

3. A féreg megpróbál az IPC$ megosztáson keresztül terjedni. A megosztás eléréséhez előre meghatározott felhasználónevek és jelszavak közül válogat.

4. Egy véletlenszerűen kiválasztott TCP porton figyeli a hálózati forgalmat.

5. A 8080-as TCP porton keresztül kapcsolódik egy távoli szerverhez.

6. A féreg egy hátsó kapun keresztül fogadja a támadók parancsait:

7. Microsoft és Symantec termékekben található sebezhetőségeket igyekszik kihasználni.