Az Eldycow trójai egy olyan összetett kártékony program, amely rengeteg módosítást végez a Windowsban.

Az Eldycow trójai fertőzését követően az érintett Windows operációs rendszerek több sebből véreznek. A trójai ugyanis fájl valamint regisztrációs adatbázis szinten is rengeteg módosítást hajt végre. Ezek révén megfertőzi azokat a fájlokat, amelyek a Windows rendszerindulásakor automatikusan betöltődnek, valamint olyan windowsos komponenseket, illetve szolgáltatásokat tesz elérhetetlenné, mint például a Feladatkezelő, a regisztrációs adatbázis szerkesztője, a Vezérlőpult valamint a Windows Update.

Az Eldycow, amint rákerül egy számítógépre, akkor azon létrehoz két fájlt, majd újraindítja a rendszert. Az operációs rendszer újbóli betöltődése után megjelenít egy megtévesztő üzenetet, amelyben arról értesíti a felhasználót, hogy a számítógépén gyanús műveletek zajlanak, ezért töltsön le egy kémprogramvédelmi alkalmazást. Amennyiben a felhasználó ezt a megjelenített üzenetablakon keresztül teszi meg, akkor a PC-jére további kártékony fájlok kerülnek rá.

A trójai az Internet Explorer beállításait is felülírja, és a biztonsági beállítások mellett módosítja a kezdőoldalt valamint a keresési paramétereket.

Amikor az Eldycow trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\drivers\beep.sys
%System%\dllcache\beep.sys

2. Újraindítja a számítógépet.

3. Létrehozza az alábbi állományokat:
%Windows%\medichi.exe
%Windows%\medichi2.exe
%Windows%\murka.dat
%System%\user32.dat

4. Minden olyan exe kiterjesztésű állományt megfertőz, amelyek szerepelnek a regisztrációs adatbázis következő kulcsaiban:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Medichi = "medichi.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Medichi2 = "medichi2.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = "murka.dat"

6. Előre meghatározott folyamatokat állít le.

7, Megjelenít egy megtévesztő hibaüzenetet. Amennyiben a felhasználó a "Yes" gombra kattint, akkor a trójai további kártékony fájlokat tölt le.

8. A regisztrációs adatbázisban módosítja a következő értékeket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnableBalloonTips = 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\01208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\02500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\11208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\12500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\21208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\22500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\31208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\32500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\41208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\42500 = 0x00000003
HKLM\SOFTWARE\Classes\.shtml = "htmlfile"
HKLM\SOFTWARE\Classes\.htm = "htmlfile"
HKLM\SOFTWARE\Classes\.html = "htmlfile"
HKLM\SOFTWARE\Classes\.xht = "htmlfile"
HKLM\SOFTWARE\Classes\.xhtml = "htmlfile"

9. Módosítja az Internet Explorer kezdőoldalát és a keresési beállításokat.

10. További fájlokat tölt le egy távoli szerverről.

11. A regisztrációs adatbázis alábbiak szerinti módosításával elérhetetlenné teszi a Windows Feladatkezelőjét, a regisztrációs adatbázis szerkesztőjét, a Vezérlőpultot valamint a Windows Update szolgáltatást.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools = 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel = 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWindowsUpdate = 0x0000001