Backdoor.Tofsee蠕虫利用社会工程学的原理进行复杂的攻击,首先诱导用户本地下载和执行病毒。通过寻找系统区域的设置(国家、语言和流通货币)来选择语言种类并发送信息。它能使用英语、西班牙语、意大利语、荷兰语、德语和法语向Skype或雅虎通传输病毒,聊天信息会被远程监控并随时可以改变。
另外,为了避免嫌疑,蠕虫病毒只在在线聊天中发送信息,而非随机发起单向聊天。一旦点击病毒链接,粗心大意的用户会间接进入一个冒充Rapidshare的页面。
如果用户点击伪造的Rapidshare下载链接继续下载程序,他会接收到一个名为NewPhoto024.JPG..zip的压缩文档。解压此文档后即释放一个带有欺骗性名称的可执行文件NewPhoto024.JPG_www.tinyfilehost.com。该文件酷似JPG格式文件,实际上是一个.Com的可执行病毒。一旦被执行,该病毒就会查询Windows 注册表确认Skype或雅虎通是否已安装。如果没有Skype软件和雅虎通,蠕虫病毒就会自行退出。一旦发现,病毒会通过查看性能计数器确保其没有被杀毒软件分析。
如果它检测到自身在杀毒软件的虚拟机或调试器中运行,蠕虫病毒会自动终结,否则就创建一个待安装的子线程,然后注入蠕虫病毒的解密覆盖层。注入成功后,子行程重新开始,母行程自动终结。
除此之外,为了躲避杀毒软件的查杀,蠕虫会布署最后一道防线:将Rookit驱动安装在系统中。它会实时监控全球因特网受感染主机的行为,并阻止登陆反病毒厂商的官方网站、在线扫描网站、技术支持论坛等,当然还包括Windows Update网站。该蠕虫病毒还“创新性”地阻止链接某些有专杀工具和具备反病毒模块的知名下载门户网站。