Az OnlineRecorder kémprogram a fertőzött rendszerekre mindössze két fájlt másol fel. Ezeket a Windows egyik rendszerkönyvtárába helyezi el, majd módosítja a regisztrációs adatbázist annak érdekében, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indul. A kémprogram ezt követően kezdi meg a tényleges tevékenységét, amelynek során bizalmas adatokat gyűjt össze.
Az Isidor Biztonsági Központ közleménye szerint az OnlineRecorder először felméri, hogy a fertőzött rendszeren fut-e a Yahoo! vagy az AOL azonnali üzenetküldője. Amennyiben igen, akkor folyamatosan naplózza ezeket az alkalmazásokat. Emellett a kémprogram minden olyan URL-t összegyűjt, amelyeket a felhasználó valamely böngésző címsorába beír. Egyes esetekben pedig minden billentyűleütést naplóz. Az adatokat a Windows rendszerkönyvtárába korábban létrehozott, .rec kiterjesztésű állományokba menti el.
Amikor az OnlineRecorder kémprogram elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\orec32.exe
%System%\keys32.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"orec32" = "C:\WINDOWS\system32\orec32\orec32.exe"
3. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{308EF137-9A2D-46B6-91C6-22A7E423E009}
4. Elkezdi naplózni a Yahoo! és az AOL üzenetküldőit.
5. Naplózza a böngészőbe beírt URL-eket valamint a billentyűleütéseket.
6. Az összegyűjtött információkat elmenti az alábbi fájlokba:
%System%\acndex.rec
%System%\aindex.rec
%System%\apndex.rec
%System%\cindex.rec
%System%\custom.rec
%System%\iindex.rec
%System%\kindex.rec
%System%\mindex.rec
%System%\mpndex.rec
%System%\opndex.rec
%System%\p1.rec
%System%\rindex.rec
%System%\sindex.rec
%System%\time.rec
%System%\uindex.rec
%System%\wi1.rec
%System%\windex.rec
%System%\wit1.rec
%System%\yindex.rec
%System%\ypndex.rec
6. Megjelenít egy ikont a Windows Tálcáján. Amennyiben a felhasználó erre kattint, akkor egy jelszót kér be a kémprogram.
