A Klovbot trójai néhány exe fájlt másol fel az általa kiszemelt rendszerekre, majd gondoskodik arról, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni. Ezt követően interneten keresztül csatlakozik egy távoli szerverhez, amelyről egy hosts állományt tölt le. Ezzel a fájllal rögtön felülírja a Windows eredeti hosts állományát, és így a terjesztői által kívánt átirányításokat egy csapásra képes végrehajtani. Többek között azt is képes elérni, hogy a böngészőkben megjelenő ártalmatlan weblapok helyett kártékony célokat szolgáló weboldalak jelenjenek meg.

Az Isidor Biztonsági Központ a jelentésében kiemelte, hogy a Klovbot esetenként bizalmas adatok összegyűjtésére valamint kiszivárogtatására is alkalmas lehet.

Amikor a Klovbot trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%aktuális könyvtár%/EasyBot.exe
%aktuális könyvtár%/MicroServIp.exe
%aktuális könyvtár%/Postales.exe
%aktuális könyvtár%/Postal_Gusanito.exe

2. A Windows könyvárába bemásol egy fájlt az alábbiak szerint:
%Windir%/csrcs.exe

3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE/software/Microsoft/Windows/CurrentVersion/Run/"Microsofts" = "%Windir%/csrcs.exe"

4. Kapcsolódik egy távoli szerverhez, amelyről egy kártékony célokat szolgáló hosts állományt tölt le.

5. A letöltött hosts fájllal felülírja a Windows eredeti állományát:
%System%/drivers/etc/hosts

6. A hosts fájl révén webes átirányításokat hajt végre ártalmas weboldalakra.

7. A fertőzött számítógépről bizalmas információkat gyűjt össze, amelyeket kiszivárogtat.

A hír megjelenését a Biztonságportál támogatta.