Az Anivip vírus weboldalakhoz, illetve webes tartalmakhoz kapcsolódó fájlok megfertőzésével próbálja kihasználni a Windows egyik kritikus veszélyességű sérülékenységét.
Az Anivip vírus webes fájlok révén próbál meg terjedni. Ennek megfelelően képes a htm, a php valamint az asp állományok megfertőzésére. Ezekhez az állományokhoz egy IFRAME bejegyzést fűz, amely egy kártékony weboldalra mutat. A beépített IFRAME révén igyekszik kihasználni a Microsoft által már kijavított – és az MS07-017-es biztonsági közleményben ismertetett – sebezhetőséget.
A vírus további veszélye, hogy számos kártékony fájlt tölt le az Internetről, amelyeket az összes elérhető, és írható adattároló eszközre, illetve meghajtóra felmásol. Majd ezek révén igyekszik megfertőzni a helyi számítógépen lévő htm, php valamint asp kiterjesztésű állományokat.
Amikor az Anivip vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Gondoskodik arról, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
2. Interneten keresztül letölt egy fájlt, majd elmenti azt ip.txt néven.
3. Az összes írható meghajtón, illetve adattárolón megfertőzi az alábbi kiterjesztések valamelyikével rendelkező fájlokat:
asp
php
htm
Ezekhez az állományokhoz egy IFRAME taget fűz hozzá, amelynek forrása egy kártékony weboldalra mutat.
4. A beépített IFRAME segítségével megpróbálja kihasználni a Microsoft által már kijavított, animált kurzorok kezelésében található hibát.
5. Újabb kártékony fájlokat próbál meg letölteni távoli szerverekről.