Khi Backdoor.Sdbot.T được kích hoạt, nó sẽ thực hiện các tác vụ sau:
- Tự nhân bản với cái tên %System%\kgzgjkpcw.exe và %System%\zonealarm.exe vào thư mục hệ thống, theo mặc định sẽ là C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).
- Chấm dứt các process sau:
* Netstat.exe
* Msconfig.exe
* Regedit.exe
- Bổ sung giá trị "Winsock2 driver"="kgzgjkpcw.exe" vào các khóa registry:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
- Bổ sung giá trị "Winsock2 driver"="ZONEALARM.EXE" vào khóa registry:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
- Sử dụng IRC client riêng để kết nối tới một kênh IRC đặc biệt và đợi lắng nghe lệnh sau:
* Quản lý backdoor
* Điều khiển IRC client trong máy tính lây nhiễm
* Chuyển thông tin về mạng và hệ thống tới tác giả của Trojan
* Tải và thực thi file
* Ghi keystrokes
* Chạy máy chủ HTTP
* Quản lý các process
* Khởi phát các cuộc tấn công từ chối dịch vụ (DoS)