A Spyrat féreg készítői a kártékony programjukat arra készítették fel, hogy az minél szélesebb körben tudjon terjedni cserélhető meghajtókon, például pendrive-okon keresztül. Emellett az internetes vírusterjesztésre is gondoltak, hiszen a Spyrat alkalmas fájlcserélő szolgáltatásokon való terjedésre is. Ezért a Spyrat többek között már a Limewire-en is megjelent.
Az Isidor Biztonsági Központ szerint a féreg elsősorban azzal jelent veszélyt a számítógépekre, hogy azokon egy hátsó kaput nyit, amelyen keresztül a támadók az alábbi műveleteket hajthatják végre:
- fájlok írása, olvasása és végrehajtása
- jelszavak eltulajdonítása
- webkamerák aktiválása és megfigyelése
- billentyűleütések naplózása
- HTTP proxy létrehozása.
A fentiekből látható, hogy a Spyrat alkalmas arra, hogy bizalmas információkat szivárogtasson ki. Mindezt ráadásul úgy teszi, hogy abból lehetőleg a fertőzött számítógép felhasználója semmit se vegyen észre. Különféle, jól ismert folyamatokat fertőz meg, és azok mögül végzi a tevékenységét, valamint a regisztrációs adatbázisban létrehozott bejegyzéseit rootkit összetevők révén igyekszik elrejteni.
Amikor a Spyrat féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Temp%\UuU.uUu
%Temp%\XX--XX--XX.txt
%Temp%\XxX.xXx
C:\Dir\install\server.exe
2. A regisztrációs adatbázishoz hozzáfűzi többek között az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Policies" = "c:\dir\install\server.exe"
3. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
4. Rootkit komponens segítségével elrejti azokat a regisztrációs adatbázisban szereplő bejegyzéseket, amelyek "SPY_NET_RAT" karaktersorozattal kezdődnek.
5. Megfertőz egy folyamatot (legtöbbször az iexplore.exe nevűt), és ezzel biztosítja, hogy a háttérben mindig fusson.
6. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a kiszemelt rendszeren.
7. Felmásolja a saját állományait a csatlakoztatott, cserélhető meghajtókra.
8. Bemásolja magát a telepített fájlcserélő alkalmazások megosztott könyvtáraiba.