A Ginwui.F trójai álcázott PowerPoint állományok formájában kerül rá a számítógépekre, amelyeken szabad bejárását biztosít a támadók számára.

A Ginwui.F legfőbb jellegzetessége, hogy olyan fájlok révén terjed, amelyek első ránézésre szokványos PowerPoint állományoknak látszanak. Azonban ezek megnyitásakor egy bemutató helyett a trójai indul el, és azonnal megfertőzi a rendszert. Néhány új fájlt hoz létre, és módosítja a regisztrációs adatbázist. A kártékony program különböző rootkit technikákat is bevet annak érdekében, hogy láthatatlanul végezhesse a feladatát. Ezek segítségével elrejti a saját állományait, a regisztrációs adatbázisban végrehajtott módosításait valamint a folyamatait.

A Ginwui.F legfőbb feladata, hogy egy hátsó kaput nyisson a fertőzött rendszereken, amelyen keresztül a támadók az alábbi mûveleteket végezhetik el:
- a merevlemez típusának lekérdezése
- fájlok letöltése és feltöltése
- könyvtárak létrehozása és törlése
- fájlok keresése
- a trójai frissítése.

Amikor a Ginwui.F trójai elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Temp%\\ excel.exe
%Temp%\\[eredeti fájlnév].pps
%System%\\US2.EXE
%System%\\kb20060919.log
%System%\\WINFBI32.DLL

2. A regisztrációs adatbázishoz hozzáfûzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\"AppInit_DLLs" = "%System%\\WINFBI32.dll"

3. Különböző folyamatokat fertőz meg.

4. Rootkit technikák révén elrejti a fájljait, a regisztrációs adatbázisban végzett módosításait valamint a folyamatait.

5. Nyit egy hátsó kaput a 7766-os TCP porton keresztül.