A Keyhabt trójai legfőbb feladata, hogy folyamatosan figyelje a billentyűleütéseket, és bizalmas adatokat szivárogtasson ki.
A Keyhabt trójai meglehetősen egyszerű felépítésű. A Windowsban nem végez sok módosítást, így akár kézi eszközökkel is egyszerűen eltávolítható. A kártékony program jelenléte onnan ismerhető fel, hogy egy olyan hibaüzenetet jelenít meg, amely a "Please re-download the software." szöveget tartalmazza.

Amennyiben a trójai mégis el tud indulni a kiszemelt számítógépen, akkor onnantól kezdve az összes billentyűleütést naplózza. Az ebből származó információkat összegyűjti, majd elektronikus levelek mellékletében továbbítja az adatokat a támadók számára. Ezzel adott esetben bizalmas információkat képes kiszivárogtatni a fertőzött rendszerekből.

A Keyhabt elsősorban kártékony weboldalakról töltődik le a számítógépekre.

Amikor a Keyhabt trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%winstart.exe
%System%winstart.dll
%System% ratsniw.le
%System% ratsniw.dat

2. A regisztrációs adatbázishoz hozzáfűzi a következő sorokat:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywinstart
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"winstart
"
= %System%winstart.exe

3. Megjelenít egy hibaüzenetet. Ennek címsorában az "Error" szó szerepel, míg az üzenete:
"Please re-download the software."

4. Folyamatosan naplózza a billentyűleütéseket.

5. Az összegyűjtött információkat emailben továbbítja a támadók számára. Az elektronikus levelek mellékletében egy Log0.kla nevű állomány található.