Amennyiben a felhasználó a csatolmányt megnyitja, akkor a féreg előtt szabaddá válik az út a károkozások előtt, legalábbis, ha az adott számítógépen nincs megfelelő vírusvédelem – számol be róla a biztonsagportal.hu. Az e-mailek melléklete általában zip kiterjesztésű, míg a küldemények szövege meglehetősen megtévesztő lehet. Több esetben banki fizetési értesítőknek álcázott levelekről van szó, amelyek angol nyelven íródnak.
Az Isidor Biztonsági Központ közleménye szerint a Gamarue.P a spamek mellett cserélhető adattorlókat, például pendrive-okat is felhasznál a terjedéséhez. Ez esetben kihasználja a Windows Autorun funkcióját, és a lehetőségekhez mérten felhasználói beavatkozás nélkül igyekszik betöltődni a memóriába. A féreg tartalmaz egy URL-listát is, amely alapján weboldalakhoz tud kapcsolódni, illetve távoli kiszolgálókról fájlokat képes letölteni. Ezzel pedig további károkozók terjesztésében kap szerepet. Amennyiben ezzel a feladatával is végez, akkor bizalmas információkat gyűjt össze, majd szivárogtat ki a számítógépekről.
Amikor a Gamarue.P féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. A Windows %ALLUSERPROFILE% rendszerkönyvtárába véletlenszerű fájlnévvel ellátott állományt hoz létre, amelyet bat, cmd, com, exe, pif vagy scr kiterjesztéssel lát el.
2. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun59870=”%ALLUSERS%[véletlenszerű fájlnév]”
3. Megfertőzi az msiexec.exe és az svchost.exe nevű rendszerfolyamatokat.
4. Felmásolja a saját állományait, és egy autorun.inf nevű fájlt a cserélhető meghajtókra.
5. Egy URL-lista alapján további kártékony fájlokat tölt le a számítógépre.
6. Megpróbál bizalmas információkat kiszivárogtatni a fertőzött rendszerről.
