A Bankolimb.CH trójai feladata, hogy a Windows beépített tűzfalának módosítását követően egy másik kártékony programot telepítsen fel a számítógépekre.

A  Bankolimb.CH trójait a készítői Delphiben írták meg elsősorban azzal a céllal, hogy egy másik kártevő terjedését elősegítsék. A Bankolimb.CH két fájlt hoz létre a fertőzött rendszereken, majd módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni, valamint, hogy a Windows tűzfalának megkerülésével kapcsolódni tudjon egy távoli szerverhez. Erről a kiszolgálóról a kártevő egy Agent.KKI nevű trójait tölt le a már amúgy is fertőzött rendszerekre.

A trójai elsősorban kártékony weboldalakról kerülhet rá a számítógépekre.

Amikor a Bankolimb.CH  trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
Documents and Settings\[felhasználónév]\Local Settings\Temp\SVCHOST.EXE
Documents and Settings\[felhasználónév]\Local Settings\Temp\SYSTEM.EXE

2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket, amelyekkel hatástalanítja Windows beépített tűzfalát:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001 \ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
%Temp%\svchost.exe = %Temp%\svchost.exe:*:Enabled:svchost.exe
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy \ StandardProfile\ AuthorizedApplications\ List
%Temp%\svchost.exe = %Temp%\svchost.exe:*:Enabled:svchost.exe

3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Shell = explorer.exe %Temp%

4. Megpróbál bizalmas adatokat (pl.: felhasználóneveket és jelszavakat) összegyűjteni.

5. Csatlakozik egy távoli szerverhez, és letölt egy Agent.KKI nevű trójait.