A Disgufa trójai a Windows egyes rendszerfájljainak módosítása után egy hátsó kaput nyit a fertőzött számítógépeken.

A Disgufa trójai egyszerű működésű. A legfontosabb feladata, hogy a 80-as porton keresztül egy hátsó kaput létesítsen a kiszemelt rendszereken, és ezzel szabad bejárást biztosítson azokra. A trójaihoz alapesetben mindössze két állomány tartozik, amelyek dl_ és dll kiterjesztésekkel rendelkeznek. Ezek mindegyike a Windows System vagy System32 könyvtárába kerül.

A trójai további veszélye, hogy a Windows egyes rendszerállományait is megfertőzi. Többek között az explorer.exe fájl is áldozatául eshet a kártékony programnak. Azonban a helyreállítást jelentősen megkönnyíti, hogy a trójai az általa módosított állományokból a fertőzés előtt egy-egy biztonsági másolatot készít, amik egyszerű átnevezéssel visszaállíthatók.

Amikor a Disgufa trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\sendmsg.dl_
%System%\sendmsg.dll

2. Módosítja az alábbi állományokat:
%Windir%\explorer.exe
%System%\conime.exe
%System%\ctfmon.exe
%System%\dllcache\conime.exe
%System%\dllcache\ctfmon.exe
%System%\dllcache\explorer.exe

Mielőtt ezt megtenné, azelőtt elmenti a fájlokat a Windows, illetve a Windows System könyvtárába .log és .nls kiterjesztésekkel.

3. Nyit egy hátsó kaput a 80-as TCP porton keresztül.