A WinSupervisor kémprogram azon kártékony szoftverek közé sorolható, amelyek bizalmas információk megszerzésére törekszenek. A kártevő legfontosabb feladata ugyanis nem más, mint hogy a fertőzött számítógépekhez csatlakoztatott billentyűzet segítségével megadott adatokat gondosan összegyűjtse, majd egy előre meghatározott email címre elküldje a megszerzett információkat.
A WinSupervisor számtalan fájlt hoz létre az aktuálisan éppen bejelentkezett felhasználó könyvtáraiban, valamint a Windows "Program Files" mappájában. Ezt követően lát neki a regisztrációs adatbázis módosításának, amelyhez új kulcsokat és értékeket fűz hozzá. Ezzel többek között arról is gondoskodik, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.
Amikor a WinSupervisor kémprogram elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat.
%UserProfile%\Local Settings\Temp\[...].tmp
%UserProfile%\Local Settings\Temp\[...].tmp
%UserProfile%\Start Menu\Programs\Windows Supervisor\Online - Support, Updates, Register.lnk
%UserProfile%\Start Menu\Programs\Windows Supervisor\Uninstall Windows Supervisor.lnk
%UserProfile%\Start Menu\Programs\Windows Supervisor\Windows Supervisor Help.lnk
%UserProfile%\Start Menu\Programs\Windows Supervisor\Windows Supervisor.lnk
%ProgramFiles%\Windows Supervisor\help.chm
%ProgramFiles%\Windows Supervisor\khk001.dll
%ProgramFiles%\Windows Supervisor\libeay32.dll
%ProgramFiles%\Windows Supervisor\license.txt
%ProgramFiles%\Windows Supervisor\online.url
%ProgramFiles%\Windows Supervisor\ReadMe.txt
%ProgramFiles%\Windows Supervisor\shlapi.dll
%ProgramFiles%\Windows Supervisor\ssleay32.dll
%ProgramFiles%\Windows Supervisor\unmsi.dll
%ProgramFiles%\Windows Supervisor\winspvr.exe
%ProgramFiles%\Windows Supervisor\xxm32.dll
%Windir%\Installer\[RANDOM CHARACTERS].msi
2. Létrehozza az alábbi könyvtárat:
C:\Documents and Settings\All Users\Application Data\Windows Supervisor
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Supervisor" = "C:\Program Files\Windows Supervisor\winspvr.exe"
4. A regisztrációs adatbázisban létrehozza az alábbi kulcsokat:
HKEY_CURRENT_USER\Software\Windows Supervisor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A7177905-E880-4A21-8C28-4B7E653C4537}
5. Folyamatosan naplózza a billentyűleütéseket.
6. Az összegyűjtött információkat elküldi egy előre meghatározott email címre.
