A Ruternam trójai egyik legfőbb veszélye, hogy a felismerése meglehetősen nehézkes lehet. Ennek oka, hogy a Windows Feladatkezelője mögé igyekszik elrejtőzni. A kártékony program egy teljesen ártalmatlanak látszó, "Task Manager" nevű szolgáltatást hoz létre, és ennek révén a Windows minden egyes újraindulásakor automatikus képes betöltődni. Amint a trójai feltelepül a kiszemelt számítógépre, akkor arra az Interneten keresztül további káros fájlokat tölt le.

A Ruternam trójai cserélhető meghajtókon keresztül igyekszik minél több rendszerre felkerülni. Ennek érdekében minden ilyen adattárolóra két fájlt másol fel, amelyek a meghajtók újbóli csatlakoztatásakor automatikusan képesek betöltődni.

Amikor a Ruternam trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\drivers\spools.exe
%System%\drivers\sysproc.sys
%Profile%\Local Settings\Application Data\cftmon.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload = "C:\Documents and Settings\Local Settings\Application Data\cftmon.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser = "C:\WINDOWS\system32\drivers\spools.exe"

3. Létrehoz egy "Task Manager" nevű szolgáltatást.

4. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKLM\SYSTEM\ControlSet001\Services\Schedule\ImagePath = "%Windows%\System32\svchost.exe -k netsvcs"
HKLM\SYSTEM\ControlSet001\Services\Schedule\ImagePath = "C:\WINDOWS\system32\drivers\spools.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath = "%Windows%\System32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath = "C:\WINDOWS\system32\drivers\spools.exe"

5. Minden cserélhető meghajtó gyökér könyvtárába bemásol egy autorun.exe és egy autorun.inf állományt.