Az Anivip vírus weboldalakhoz, illetve webes tartalmakhoz kapcsolódó fájlok megfertőzésével próbálja kihasználni a Windows egyik kritikus veszélyességű sérülékenységét.

Az Anivip vírus webes fájlok révén próbál meg terjedni. Ennek megfelelően képes a htm, a php valamint az asp állományok megfertőzésére. Ezekhez az állományokhoz egy IFRAME bejegyzést fűz, amely egy kártékony weboldalra mutat. A beépített IFRAME révén igyekszik kihasználni a Microsoft által már kijavított – és az MS07-017-es biztonsági közleményben ismertetett – sebezhetőséget.

A vírus további veszélye, hogy számos kártékony fájlt tölt le az Internetről, amelyeket az összes elérhető, és írható adattároló eszközre, illetve meghajtóra felmásol. Majd ezek révén igyekszik megfertőzni a helyi számítógépen lévő htm, php valamint asp kiterjesztésű állományokat.

Amikor az Anivip vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Gondoskodik arról, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

2. Interneten keresztül letölt egy fájlt, majd elmenti azt ip.txt néven.

3. Az összes írható meghajtón, illetve adattárolón megfertőzi az alábbi kiterjesztések valamelyikével rendelkező fájlokat:
asp
php
htm

Ezekhez az állományokhoz egy IFRAME taget fűz hozzá, amelynek forrása egy kártékony weboldalra mutat.

4. A beépített IFRAME segítségével megpróbálja kihasználni a Microsoft által már kijavított, animált kurzorok kezelésében található hibát.

5. Újabb kártékony fájlokat próbál meg letölteni távoli szerverekről.