A Rixobot féreg egy botnethez csatlakoztatja a fertőzött számítógépet, majd engedelmeskedik a terjesztői parancsainak, akik számos kártékony műveletet hajthatnak végre a rendszereken.

A Rixobot féreg többnyire cserélhető adattárolókon valamint azonnali üzenetküldőkön keresztül igyekszik rákerülni a számítógépekre. Amennyiben ez sikerül számára, akkor a regisztrációs adatbázisban olyan módosításokat végez, amelyek révén meg tudja kerülni a Windows beépített tűzfalát. Erre azért van szüksége, hogy a későbbiekben Interneten keresztül parancsokat tudjon fogadni.

Az Isidor Biztonsági Központ közleménye arra hívja fel a figyelmet, hogy a Rixobot féreg egy rootkit komponenst is feltelepít a rendszerekre. Ezért megfelelő vírusvédelmi alkalmazás használata nélkül a felismerése nehézségekbe ütközhet. Némi gyanakvásra mindössze az adhat okot, hogy a kártékony program leállít egyes biztonsági és adminisztrációs szolgáltatásokat a Windowsban.

A Rixobot féreg segítségével a támadók az alábbi műveleteket hajthatják végre:
- vírusterjesztés azonnali üzenetküldőkön keresztül
- a féreg cserélhető meghajtókra való telepítése
- sérülékenységek keresése meghatározott IP-tartományokba tartozó számítógépeken
- a féreg frissítése.

Amikor a Rixobot féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%\msnwm.exe
%System%\drivers\kernelx86.sys

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kernelx86\"ImagePath" = "\??\C:\WINDOWS\System32\drivers\kernelx86.sys"

3. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"C:\WINDOWS\System32\msnwm.exe" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe\"Debugger" = "msnwm.exe"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\DomainProfile\AuthorizedApplications\List\"C:\WINDOWS\System32\msnwm.exe" = "C:\WINDOWS\System32\msnwm.exe:*:Enabled:UPnP Firewall"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\System32\msnwm.exe" =
"C:\WINDOWS\System32\msnwm.exe:*:Enabled:UPnP Firewall"

4. Nyit egy hátsó kaput, és egy előre meghatározott IRC-szerveren keresztül fogadja a támadók parancsait.

5. Végrehajtja a támadók parancsait.

6. Módosítja a Windows hosts állományát.

7. Elérhetetlenné teszi a Windows egyes biztonsági és adminisztrációs szolgáltatásait.

A hír megjelenését a biztonságportál támogatta.