A Redlofs féreg a regisztrációs adatbázis módosítgatásával valamint különféle fájlműveletekkel próbálja elérni a célját.

A Redlofs féreg a fertőzött számítógépekre három fájlt másol fel, majd nekilát a regisztrációs adatbázis módosításának. Ennek következtében elérhetetlenné teszi a Windows Feladatkezelőjét, a regisztrációs adatbázis szerkesztőjét, valamint különféle könyvtár-, illetve fájlmegjelenítési beállításokat változtat.

A féreg elsősorban cserélhető és hálózati meghajtókon keresztül igyekszik minél több számítógépet megfertőzni. Mindezek mellett a helyi adattárolókon is jelentős mértékben képes elszaporodni, ugyanis miközben könyvtárakat tesz láthatatlanná, aközben a mappák nevének megfelelően fertőzött állományokat is létrehoz. Mivel ezekhez a Windows szokványos mappaikonját rendeli hozzá. így a felhasználó azt hiheti, hogy egy könyvtárat nyit meg, miközben éppen a férget indítja el.

Amikor a Redlofs féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\10.1.08.exe
%Windir%\1o.1.o8.exe
[rendszermeghajtó]\10.1.08.exe

2. Minden helyi, cserélhető és hálózati meghajtó gyökér könyvtárába bemásol egy autorun.inf nevű állományt.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun"

4. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\1o.1.o8.exe shell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\10.1.08.exe init"

4. A regisztrációs adatbázisban létrehozza a következő kulcsokat, illetve értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".key" = "exefile"

5. A regisztrációs adatabázisban módosítja az alábbi bejegyzéseket:
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Run\"1o.1.o8" = "C:\WINDOWS\1o.1.o8.exe hcurun"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".bat" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".cmd" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".com" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".hta" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".js" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".JSE" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".msi" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".pif" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".reg" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".scr" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".VBE" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".vbs" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".WSF" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".WSH" = "exefile"

6. Megpróbál cserélhető és hálózati meghajtókon keresztül további számítógépeket megfertőzni.

7. A saját fájljaihoz a Windows mappáinál megszokott ikonokat rendeli hozzá.

8. Könyvtárak attribútumát rejtettre állítja, majd a saját állományát a következők szerint másolgatja le:
[könyvtár neve].exe