A Lancafdo trójai egy hátsó kaput nyit a fertőzött rendszereken, amelyekhez így a támadók szabad hozzáférést szerezhetnek.

A Lancafdo trójai egy megtévesztő nevű, "Microsoft security update service" szolgáltatást hoz létre a fertőzött rendszereken, amely első ránézésre a Windows frissítő szolgáltatása is lehetne. Azonban korántsem erről van szó, ugyanis ez a szolgáltatás biztosítja azt, hogy a trójai az operációs rendszer minden egyes újraindulásakor automatikusan be tudjon töltődni.

A Lancafdo legfontosabb feladat, hogy egy hátsó kaput nyisson a kiszemelt számítógépeken. Ezen keresztül a támadók az alábbi műveleteket hajthatják végre:
- szolgáltatásmegtagadási (DoS) támadások kezdeményezése
- weboldalak megnyitása Internet Explorerben
- fájlok letöltése és futtatása
- trójai leállítása
- trójai eltávolítása.

Amikor a Lancafdo trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\mssrv32.exe

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"Type" = "00000010"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"Start" = "00000002"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"ImagePath" = "%System%\mssrv32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"ErrorControl" = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"DisplayName" = "Microsoft security update service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\"Description" = "This service downloading and installing Windows security updates"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AFD\Parameters\"DisableRawSecurity" = "00000001"

3. Létrehoz egy "Microsoft security update service" nevű szolgáltatást.

4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

5. Megfertőzi az svchost.exe folyamatot.

6. Nyit egy hátsó kaput.