A Fosor trójai jellegzetessége, hogy egy - a Microsoft által már korábban kijavított - Excel sérülékenységet használ ki a terjedéséhez. Ennek ellenére nem Excel fájlok révén terjed, hanem olyan Word dokumentumokon keresztül jut fel a számítógépekre, amelyek egy speciálisan szerkesztett, beágyazott Excel objektumot is tartalmaznak.

Az Isidor Biztonsági Központ jelentése szerint a Fosor trójai legfontosabb feladata, hogy egy hátsó kaput nyisson a fertőzött számítógépeken, amelyen keresztül a támadók az alábbi műveleteket kezdeményezhetik:
- a Windows beépített tűzfalának kikapcsolása
- billentyűleütések naplózása
- rendszerinformációk összegyűjtése
- új szolgáltatások létrehozása
- parancssori ablak megnyitás
- biztonsági alkalmazások leállítása.

Amikor a Fosor trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%Windir%/Ball.exe
%UserProfile%/Start Menu/Programs/Startup/Ball.exe
%Windir%/Temp/zk.exe
%Windir%/Temp/svchost.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/NetCache/"Enabled" = "0"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/"ShutdownWithoutLogon" = "0"
HKEY_USERS/.DEFAULT/Keyboard Layout/Toggle/"Hotkey" = "1"

3. A regisztrációs adatbázisba beilleszti a következő kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/[szolgáltatásnév]

4. A regisztrációs adatbázisban módosítja az alábbi kulcsokhoz tartozó bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Terminal Server/fDenyTSConnections
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Terminal Server/Wds/rdpwd/Tds/tcp/PortNumber
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Terminal Server/WinStations/RDP-Tcp/PortNumber

5. Csatlakozik távoli szerverekhez, és nyit egy hátsó kaput.

6. Várakozik a támadók parancsaira.

A hír megjelenését a Biztonságportál támogatta.