A WinSpy.J trójai révén a támadók szinte bármit megtudhatnak a fertőzött számítógépeken végzett műveletekről.
A WinSpy.J trójai elsődleges célja a kémkedés. Amint rákerül egy számítógépre, akkor arra az Internetről további kártékony fájlokat tölt le, majd rendszeresen ellenőrzi, hogy a saját állományaiból létezik-e újabb változat, vagyis automatikusan frissíti magát.
A trójaiban rejlő lehetőségek kihasználásával a támadók képernyőképeket menthetnek le a böngészőkről, valamint elindíthatják az Internet Explorert vagy a Mozilla Firefoxot. Amennyiben a fertőzött PC-hez működőképes webkamera is csatlakozik, akkor akár videófelvételeket is készíthetnek. A kártevő az összegyűjtött adatokat, képeket, videókat stb. elektronikus levelekben továbbítja a támadók számára.
Amikor a WinSpy.J trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Interneten keresztül letölt egy newver.txt nevű állományt, ezt követően egy további kártékony állományt szerez be. A letöltött fájlt a Windows könyvtárába msn64.exe néven menti el.
- Rendszeresen ellenőrzi az Interneten keresztül, hogy a saját állományiból érhető-e el újabb verzió.
- A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunPANO = “%Windows%msn64.exe”
Ezzel eléri, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.