A Fruspam.I féreg elektronikus leveleken, fájlcserélő szolgáltatásokon valamint weboldalakon keresztül is terjed, miközben egyéb kártékony programokkal vértezi fel a fertőzött rendszereket.

A Fruspam.I - hasonlóan az eddig megjelent variánsaihoz - elsősorban kéretlen elektronikus levelek révén próbál felkerülni a számítógépekre. Ehhez megtévesztő üzeneteket generál, amelyekben olyan szövegeket és képeket használ fel, amelyek alapján a levél címzettje azt hiheti, hogy az email a Hallmarktól, a Coca-Colától, a jobs.com-tól, stb. érkezett.

A Fruspam.I a spammelt üzenetek mellett fájlcserélőkön keresztül is képes terjedni. Ennek megfelelően olyan könyvtárakba másolja be magát, amelyek a fájlcserélő szoftverek megosztott könyvtárainak számítanak, és olyan fájlneveket választ, amelyek ismert, és széles körben használt szoftverekre utalnak.

A féreg az IIS-webszerver adta lehetőségekkel is igyekszik élni, már amennyiben ez fut a fertőzött rendszereken. Ebben az esetben a kártevő módosítja az IIS által kiszolgált alapértelmezett weboldalt, és egy MS09-067-es hibajavítás letöltésére buzdít. A hibajavítás ebben az esetben maga a féreg fájlja, ezért nem tanácsos azt letölteni.

Az Isidor Biztonsági Központ felhívta a figyelmet arra, hogy a Fruspam.I alkalmas a Vundo nevű kártékony program terjesztésére is.

Amikor a Fruspam.I féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\javame.exe
%System%\javase.exe
%System%\javaee.exe
%System%\.dll

2. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sun Java Updater v5.1 = "%System%\javarun.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetFileStateQY
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CabinetFileStateQY
HKCU\Software\Microsoft\Windows\CurrentVersion\Webcheck\tcpack = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Webcheck\tcpsyn = dword:00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Webcheck\tcpfin = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Webcheck\tcpurg = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\javastation3 = ""
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ultrasparc3 = ""

3. Legális weboldalakról képeket tölt le, majd ezeket beilleszti a saját emailjeibe.

4. Email címeket gyűjt össze különböző kiterjesztésű állományokból.

4. Elektronikus leveket kezd el küldözgetni, amelyek tárgya lehet:
You've received A Hallmark E-Card!
Thank you for your application
Job offer from Coca Cola!

A fertőzött levelek mellékletéhez tartozó fájlok neve lehet:
postcard.zip
copy of your application.zip
job-application-form.zip
copy of your CV.zip

6. Megpróbál fájlcserélő hálózatokon keresztül terjedni. Ennek érdekében bemásolja a saját állományát az alábbi könyvtárakba (amennyiben azok léteznek)
C:\Downloads\
C:\program files\emule\incoming\
C:\program files\grokster\my grokster\
C:\program files\icq\shared folder\
C:\program files\limewire\shared\
C:\program files\morpheus\my shared folder\
C:\program files\tesla\files\
C:\program files\winmx\shared\

7. Amennyiben a fertőzött rendszeren fut IIS-webszerver, akkor módosítja az alábbi állományt:
%Root%\inetpub\wwwroot\index.htm

8. Hatástalanítja a Windows beépített tűzfalát a regisztrációs adatbázis alábbiak szerinti módosításával:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\%System%\javarun.exe = "%System%\javarun.exe:*:Enabled:Explorer"

9. Interneten keresztül letölt egy Vundo nevű kártékony programot.

10. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.