Backdoor.Ryknos kopiert sich in das Systemverzeichnis und nutzt dabei den Dateinamen $sys$drv.exe.
Ist das von Sony BMG stammende Rootkit beim Start des Trojaners bereits installiert, wird der Trojaner nicht aktiv. Gelangt das Rootkit jedoch erst später auf den befallenen Computer, macht es die oben genannte Datei und den vom Trojaner angelegten Registry-Eintrag unsichtbar.
Der Trojaner versucht zudem, sich der Windows-Firewall als vertrauenswürdige Anwendung zu präsentieren. Gelingt das, schickt er über den TCP-Port 8080 eine Nachricht an eine vorgegebene IP-Adresse. Ein so informierter Angreifer kann dann die geöffnete Hintertür ausnutzen.
Der von Sony BMG eingesetzte XCP-Kopierschutz soll bislang nur auf wenigen, ausschließlich in den USA vertriebenen CDs zum Einsatz gekommen sein. Der Trojaner nutzt das Rootkit allerdings nur, um sich besser zu tarnen, die gefährliche Backdoor-Funktion arbeitet auch, wenn der PC nicht durch den Kopierschutz kontaminiert wurde.