Spymaster.A enthält keine eigene Verbreitungsroutine, wird aber derzeit massenhaft per E-Mail, in Download-Bereichen diverser Websites, über P2P-Applikationen, Instant Messenger und sogar auf Disketten und CDs verbreitet.
Der Trojaner manipuliert die Registry, um bei jedem Systemstart aktiv zu werden. Im Taskmanager erscheinen die entsprechenden Prozesse als Dienste des MSN Messenger, wodurch sie für den Anwender schwer zu identifizieren sind.
Der Trojaner sammelt Informationen, darunter auch die aufgezeichneten Tastaturanschläge, in einer Datei namens "syslogy.cc", die er bei passender Gelegenheit per FTP an die Adresse eines Angreifers schickt.
Damit der Trojaner aktiv werden kann, ist ein manueller Start durch den Anwender erforderlich. Anwendern wird daher dringend geraten, im Umgang mit E-Mail-Anhängen und anderen Daten aus unsicherer Quelle höchste Vorsicht walten zu lassen.
