A Wowcraft.C trójai program elsődleges feladata, hogy két népszerű online játék futtatása során megpróbáljon minél több jelszót összegyűjteni a játékosoktól.

A Wowcraft.C trójai két online játékot szemelt ki magának. Amennyiben ugyanis a fertőzött számítógépen elindul a World of Warcraft vagy a The Legend of Mir online játékok valamelyike, akkor a trójai azonnal aktivizál egy billentyűzetfigyelő programot. Ennek révén megpróbál minél több jelszót összegyűjteni, amelyeket Interneten keresztül továbbít a vírus írói számára. A Wowcraft.C rengeteg bejegyzést hoz létre vagy módosít a regisztrációs adatbázisban. Emellett megpróbálja leállítani a különböző biztonsági szoftverekhez tartozó folyamatokat, így a fertőzött számítógépeket további vírusokkal szemben is kiszolgáltatottá teszi.

Amikor a Wowcraft.C trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%ProgramFiles%\Common Files\INTEXPLORE.pif
%ProgramFiles%\Internet Explorer\INTEXPLORE.com
%Windir%\Debug\DebugProgram.exe
%System%\dxdiag.com
%System%\MSCONFIG.COM
%System%\\\egedit.com
%Windir%\EXERT.exe
%Windir%\LSASS.exe
%Windir%\IO.SYS.BAK

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“ToP” = “%Windir%\LSASS.exe” értéket.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\ Open\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
kulcsaihoz hozzáadja a
“(Default)” = “%Windir%\EXERT.exe “%1″ %*”
“(Default)” = “WindowFiles” értékeket.

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
INTEXPLORE.pif
kulcsához hozzáadja a
“LocalizedString” = “INTEXPLORE” értéket.

5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
INTEXPLORE.pif\shell\open\command
kulcsához hozzáadja a
“(Default)” = “%ProgramFiles%\common~1\INTEXPLORE.pif” értéket.

6. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
Microsoft Soft Debuger\Settings
kulcsához hozzáadja a
“GUID” = “[RANDOM STRING]” értéket.

7. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
kulcsában szereplő
“Check_Associations” = “No” értéket.

8. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHome Page\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\com mand
kulcsaiban szereplő
“(Default)” = “%ProgramFiles%\Internet Explorer\INTEXPLORE.com” %1″ értéket.

9. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\ope n\command
kulcsában szereplő
“(Default)” = “%ProgramFiles%\Internet Explorer\INTEXPLORE.com” -nohome”
“(Default)” = “%ProgramFiles%\common~1\INTEXPLORE.pif” %1″” értékeket.

10. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\co mmand
kulcsában szereplő
“(Default)” = “%ProgramFiles%\common~1\INTEXPLORE.pif” -nohome” értéket.

11. Elindítja a billentyűzetfigyelést abban az esetben, ha a felhasználó az alábbi weboldalakat böngészi:
us.logon.worldofwarcraft.com
eu.logon.worldofwarcraft.com

12. Megpróbál további jelszavakat gyűjteni egy másik online játékból (The Legend of Mir.).

13. Az összegyűjtött információkat Interneten keresztül továbbítja a támadóknak.

14. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.