Vấn đề trên không có gì mới mẻ và tin tặc đã từng dùng Teamviewer sau đó đóng gói ứng dụng này cùng với thành phần độc hại và dùng nó để chuyển PC của người dùng  thành Web Proxy . BackDoor.TeamViewer.49 đã không cho phép tin tặc đánh cắp mà chỉ theo dõi lưu lượng nhưng biến thể mới lại có thể đánh cắp , theo Dr.Web.

Trên thực tế hai biến thể mã độc này có liên quan tới nhau bởi vì chúng thay thế file avicap32.dll bằng phiên bản độc hại để tải những tính năng độc hại của Trojan .

Bất kì phiên bản Teamviewer nào khởi động thì avicap32.dll đều được tải ở chế độ ngầm định . Tin tặc đã thay đổi file DLL này có chứa Trojan BackDoor.TeamViewerENT và tải nó vào bộ nhớ mà không cần bất kì file nào trên đĩa để phục vụ nhiệm vụ của nó . Hoạt động không cần file này khiến cho các phần mềm chống Virus rất khó phát hiện .

Thêm vào đó mã độc này còn có tính năng khác độc đáo đó là bất kì lúc nào khi người dùng khởi động Windows Task Manager hoặc ứng dụng Process Explorer thì Trojan này tự động kết thúc process Teamviewer chủ tránh bị theo dõi .

BackDoor.TeamViewerENT.1 có thói quen hoạt động như những loại “cửa sau” thông thường . Nó bắt đầu truyền thông với máy chủ CnC để có thể nhận những kiểu mệnh lệnh khác nhau .

Trojan này có khả năng khởi động lại hoặc tắt máy tính , gỡ bỏ hoặc chạy lại process Teamviewer chủ , nghe được những hội thoại qua microphone , truy cập webcam , tải và thực thi file , chạy những mệnh lệnh theo dòng lệnh , hoặc kết nối tới những máy chủ từ xa nào đó …

Dr.Web nói rằng họ phát hiện ra chiến dịch này khi tin tặc dùng Trojan để tải và cài đặt mã độc hác như Keylogger và đánh cắp mật khẩu . Trong khi điều tra các chuyên gia an ninh nhận thấy Trojan này nhắm tới những người dùng ở Nga , Anh , Tây Ban Nha và Mỹ . Các kẻ tấn công tập trung vào những mục tiêu ở Mỹ trong tháng Tám .