A Surubat.A féreg elektronikus levelek mellett gyorsan képes terjedni a különböző hálózati megosztásokon keresztül is.

A Surubat.A féreg alapvetően kétféle módon terjed. Egyrészt összegyűjti a fertőzött számítógépekről az email címeket, amelyekre továbbküldi a saját állományát. Emellett azonban alkalmas a hálózati megosztásokon keresztül történő fertőzésre is.

A Surubat.A legfőbb veszélye, hogy egy hátsó kaput nyit a 6667-es TCP porton, amelyen várja a támadók parancsait. Ők az alábbi műveleteket hajthatják végre:
- fájlok letöltése
- fájlok feltöltése
- fájlok futtatása
- parancssori ablak megnyitása és használata.

Amikor a Surubat.A féreg elindul, akkor az alábbi műveleteket hatja végre:

1. Létrehozza a következő fájlokat:
%ProgramFiles%\\MICROSOFT OFFICE\\OFFICE\\MSOHEV.EXE
%SystemDrive%\\PETA_INSTALASI_NUKLIR_ISRAEL.EXE
%Windir%\\DATABASE.TXT
%Windir%\\Restore\\scvhost.exe
%Windir%\\Restore\\systems.exe
%Windir%\\Restore\\winamps.exe
%Windir%\\Restore\\winzip.exe
%Windir%\\documents.exe
%Windir%\\mmsgs\\systema.exe
%Windir%\\safemode.exe
%Windir%\\taskmanager.exe

2. A Windows System könyvtárában található %System%\\MSVBVM60.DLL állományt átnevezi "_MSVBVM60.DLL"-re.

3. Felmásolja a saját állományait az elérhető hálózati megosztásokra.

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\"Update" = "%Windir%\\Restore\\systems.exe"

5. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_CURRENT_USER\\Identities\\[UNIQUE CURRENT USER SUBKEY]\\Software\\Microsoft\\Outlook Express\\5.0\\Mail\\"Warn on Mapi Send" = "0"

6. A regisztrációs adatbázisban módosítja a
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\srservice\\"ImagePath" = "%Windir%\\Restore\\scvhost.exe" értéket.

7. A fertőzött számítógépekről email címeket gyűjt össze, amelyekre fertőzött leveleket küld:

A fertőzött levelek tárgya lehet:
System Administrator, This is out report of naked isue

A fertőzött levelek mellékletéhez tartozó fájl neve:
Peta_Instalasi_Nuklir_Israel.zip

8. Nyit egy hátsó kaput a 6667-es TCP porton, amelyen keresztül fogadja a támadók parancsait.

9.Megjelenít egy üzenetablakot, amelynek címsorában a "winzip" szó szerepel, míg az üzenete:
"You Have Done Something Which Can Harm Your System
To Prevent From Damage, System Has Been Restart".