A Downadup féreg a Windows egyik szolgáltatásában rejlő hiba kihasználásával meglehetősen gyorsan terjed.

A Downadup féreg kifejezetten a Windows Kiszolgáló szolgáltatásában rejlő hiba kihasználásával képes a számítógépek közötti terjedésre. Ezt a sérülékenységet a Microsoft a múlt hónapban már kijavította, és az MS08-067-es biztonsági közleményéhez tartozó frissítések révén megszüntethetővé tette azt. Azonban, ha a frissítést nem tartalmazza egy rendszer, akkor az - főleg a helyi hálózaton keresztül - könnyedén áldozatául eshet a féregnek.

A Downadup legfontosabb feladata, hogy kiszolgáltassa a fertőzött PC-k IP címét a támadók számára, majd különböző kártékony programokat töltsön le az Interneten keresztül. A számítógépekre lementett kártevőket képes feltelepíteni, és ezzel további problémákat okozni.

Amikor a Downadup féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt
%System%\[véletlenszerű fájlnév].dll

2. Létrehoz egy netsvcs nevű windowsos szolgáltatást.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[a féreg elérési útvonala]"

4. Előre meghatározott weboldalakhoz csatlakozik, és kiszolgáltatja a fertőzött számítógép IP címét.

5. Interneten keresztül különböző kártékony programokat tölt le, majd futtat.

6. A Windows kiszolgáló szolgáltatásában lévő sebezhetőséget kihasználva próbál további rendszereket megfertőzni.