Similar cu familia Conficker în ceea ce privește metodele de auto-apărare, acest vierme restricționează accesul la site-urile producătorilor de antivirus și dezactivează alte instrumente de protecție. Dacă platformele Yahoo! Messenger și MSN Messenger au fost masiv exploatate de viermi, utilizatorii de Skype au fost mai putin expuși la astfel de amenințări. Deși viermii care se răspândesc prin trimiterea de link-uri nu sunt o noutate în peisajul malware actual cu diverse familii care afectează diferite servicii de mesagerie instantă active in mediul online, cele mai multe dintre acestea nu sunt greu de îndepărtat și nu vin cu un mecanism suplimentar de protecție. Spre deosebire de viermii uzuali pentru platforme de mesagerie instantă, Backdoor.Tofsee posedă un set de trucuri pentru a evita detecția și eliminarea, precum și cu modalități multiple de a face rău utilizatorilor și calculatoarelor acestora.
Viermele se bazează pe inginerie socială pentru a păcăli utilizatorul să descarce și ruleze o copie a sa pe calculator. Inițial, acesta caută setările locale ale sistemului (țara, limba și moneda locală) pentru a determina în ce limbă să trimită mesajele. Poate folosi engleza, spaniola, italiana, olandeza, germana si franceza pentru a se trimite către contactele din Skype™ sau Yahoo!® Messenger. Pentru a reduce orice urmă de suspiciune, mesajele folosite de vierme nu se vor repeta în timpul conversației și se vor actualiza constant de la distanță.
Mai mult chiar, viermele va trimite mesajul în timpul unei conversații în desfășurare și nu va iniția o conversație. Cum utilizatorul neavizat va da click pe link-ul infectat, aceștia vor fi directionați către o pagina falsă care arată identic cu o pagină a serviciului de partajare de fișiere Rapidshare. Dacă utilizatorul continuă procesul de descărcare accesând link-ul de download, acesta va primi o arhivă .zip numită NewPhoto024.JPG.zip. După dezarhivare se obține un fișier executabil NewPhoto024.JPG_www.tinyfilehost.com. Fișierul arată ca un .jpg urmat de un URL, însă șirul de caractere ".com" nu face parte din URL, ci este de fapt formatul fisierului (o aplicație executabilă MS-DOS). Odată executat, fișierul interoghează Windows Registry pentru a verifica dacă aplicațiile Skype sau Yahoo Messenger sunt instalate. Dacă nici o aplicație nu este găsită pe calculator, viermele va ieși fără să infecteze sistemul. În schimb, dacă găsește fișierele, viermele va porni infectarea, nu înainte de a se asigura că nu este analizat într-o mașină virtuală printr-o verificare a Performance Counter.
În cazul în care viermele detectează că este rulat într-o mașină virtuală sau în interiorul unui debugger, se auto-elimină, altfel crează un proces "child" suspendat și injectează codul său decriptat în acesta. După injectarea cu succes a codului, procesul "child" este reactivat, iar procesul "parent" se auto-închide.
Pentru a se ascunde de sistemul de operare, viermele declanșează ultima sa armă de apărare: un driver rootkit care ascunde fișiere, monitorizează activitatea pe internet a calculatorului infectat și previne accesul la URL-uri asociate cu producătorii de antivirus, scanări online, forumuri de suport tehnic și bineînțeles, la actualizarea Windows. Ca noutate, viermele restricționează accesul la un număr ridicat de portaluri de download care ar putea găzdui instrumente de dezinfectare și utilități antivirus.
După ce a compromis sistemul, viermele își adaugă cheia de start-up în regiștrii Windows. De asemenea, dezactivează firewall-ul din sistemul de operare pentru a crea o breșă în securitatea sistemului și pentru a permite unui atacator accesul de la distanță la sistemul infectat. Pentru a înrăutăți situația, componenta rootkit previne instalarea oricărui fișier cunoscut a fi un produs antivirus. Backdoor.Tofsee identifică aceste produse prin numele fișierelor, astfel încât redenumirea kit-ului de instalare blocat poate rezolva această problemă.
Mecanismul de răspândire a viermelui nu se reduce doar prin spamul trimis prin Skype și YIM. Acesta se copiază de asemenea pe orice dispozitive de stocare mobile atașate replicându-se într-un director nou denumit ~secure și creând un fișier autorun.inf ce va inițializa rularea sa automată. Viermele mai generează un al doilea folder denumit Temp002, în care va copia un fișier executabil infectat cu Trojan.Vaklik.AY. Toate fișierele create au atributele archive, hidden și system activate pentru a se ascunde de Windows Explorer.
Backdoor.Tofsee este o amenințare informatică extrem de periculoasă, deoarece permite accesul de la distanță al atacatorilor care pot prelua controlul total asupra mașinii infectate și o pot folosi în diverse scopuri ilegale. Pentru siguranță, BitDefender recomandă utilizatorilor instalarea și actualizarea în mod regulat a unei soluții antimalware cu antispam, antiphishing, antivirus și firewall.
