A FakeAlert.MX trójai a webes kereséseket igyekszik manipulálni, és ezzel meglehetősen kellemetlen meglepetéseket képes okozni a fertőzött számítógépeken.

A FakeAlert.MX trójai legfontosabb jellemzője, hogy folyamatosan figyeli a fertőzött számítógépeken folytatott internetezést. Amennyiben azt észleli, hogy a felhasználó valamilyen webes keresőszolgáltatást kíván igénybe venni, akkor aktivizálódik, és a keresési eredményeket megváltoztatja, majd webes átirányításokat hajt végre kártékony weboldalakra. A trójai a Google, a Yahoo és az AOL keresőivel is kompatibilis, valamint az Internet Explorer, a Firefox, az Opera és a Google Chrome böngészők esetében is működőképes.

A FakeAlert.MX az Interneten keresztül további rosszindulatú programokat tölt le, valamint rendszerinformációkat szivárogtat ki. A trójai további veszélye, hogy a működéséhez a Windows egyes rendszerállományait is felhasználja, amelyeket a saját kódjával fertőz meg.

Amikor a FakeAlert.MX trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő bejegyzést a regisztrációs adatbázisban:
HKLM\software\tdss\injector\* = "TDSSl.dll"

2.Megvizsgálja, hogy az alábbi folyamatok nem fertőzöttek-e:
services.exe
winlogon.exe
lsass.exe
svchost.exe

Amennyiben az svchost.exe fertőzött, akkor leellenőrzi, hogy léteznek-e a következő állományok:
avp.exe
avgexfs.exe

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

4. Interneten keresztül különböző kártékony fájlokat tölt le.

5. Folyamatosan monitorozza az internetkapcsolatot, és blokkolja a biztonsági cégekhez tartozó weboldalak megjelenítését valamint a frissítések letöltését.

6. Figyeli a Google, az AOL és a Yahoo keresőivel végzett műveleteket, majd különböző átirányításokat végez kártékony weboldalakra.

7. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\affid
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\control
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\downloaded_url
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\flagged
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\googleadserver
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\prov
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssData\subid

8. Rendszerinformációkat tölt fel egy előre meghatározott távoli szerverre.

9. Az internetes forgalmat annak megfelelően módosítja, hogy a számítógépen  milyen böngésző található.

10. Folyamatosan naplózza a GoogleDesktop.exe működését, és manipulálja a keresési eredményeket.