A Whitewell trójai elsősorban egy hátsó kapu létesítésével, és kártékony állományok letöltésével járul hozzá különféle károkozásokhoz.

A Whitewell trójai egy setup.exe fájl formájában terjed, amely legtöbbször a Windows Temp könyvtárából töltődik be. A trójai ugyanebbe a könyvtárba egy másik állományt is bemásol, amely tulajdonképpen a parancssori ablak megjelenítését lehetővé tevő, cmd.exe fájl másolata.

A Whitewell mindössze egy bejegyzést hoz létre a regisztrációs adatbázisban, és ezzel gondoskodik arról, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni. Az Isidor Biztonsági Központ jelentése szerint, amikor a trójai megkezdi a tevékenységét, akkor egy hátsó kaput nyit, majd várakozik a támadók parancsaira. Eközben pedig interneten keresztül különböző, előre meghatározott távoli szerverekhez csatlakozik.

Amikor a Whitewell trójai elindul, akkor az alábbi műveleteket hatja végre:

1. Létrehozza a következő állományt:
%Temp%\setup.exe

2. A Windows Temp könyvtárába bemásol egy fájlt az alábbiak szerint:
%Temp%\runinfo.exe

Ez az állomány a cmd.exe másolata.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"MCAFEEIPS" = "%UserProfie%\local settings\temp\setup.exe"

4. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

5. Interneten keresztül letölt egy konfigurációs állományt.

6. Interneten keresztül csatlakozik előre meghatározott távoli szerverekhez.

A hír megjelenését a biztonságportál támogatta.