Az Amitis.C trójai elsősorban egy hátsó kapu létrehozásával, rendszerinformációk összegyűjtésével valamint azok továbbításával okozhat biztonsági problémákat a fertőzött számítógépeken.

Az Amitis.C trójai számos fájlt hoz létre a kiszemelt számítógépeken, majd módosítja a regisztrációs adatbázist. Ezt követően nyit egy hátsó kaput a 3891-es TCP porton, amelyen keresztül a támadóknak számos kártékony művelet végrehajtására nyílik lehetőségük.

A trójai a PC-kről összegyűjti a rendszerinformációkat és ezeket az adatokat elmenti egy fájlba. Ezt követően az információkat tartalmazó állományt FTP-n keresztül feltölti egy előre meghatározott szerverre.

Amikor az Amitis.C trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\\MSINSCK.OCX
%System%\\Rtmp.bat
%System%\\Rtmp.log
%System%\\Rtmp.scr
%System%\\Rtemp.bat
%System%\\ALMV.exe
%System%\\DLMVT.exe
%System%\\DLMVD.exe
%System%\\DLMVX.exe
%System%\\DLMVP.exe
%System%\\RCS.exe

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
kulcsához hozzáadja az
"ALMV" = "%System%\\ALMV.exe" értéket.

3. A regisztrációs adatbázis
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
kulcsához hozzáadja a
"Load" = "%Windir%\\MVS.exe" értéket.

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
kulcsához hozzáadja a
"Userinit" = "userinit.exe %Windir%\\MVH.exe"
"Shell" = "explorer.exe %Windir%\\MVH.exe" értékeket.

5. Nyit egy hátsó kaput a 3891-es TCP porton.

6. Rendszerinformációkat gyűjt össze a fertőzött számítógépekről, és azokat egy Rtmp.log nevű fájlban tárolja el. Ezt az állományt FTP-n keresztül feltölti egy előre meghatározott szerverre.