Der Wurm Vanebot-A zielt auf ein Sicherheitsleck des Windows Server Service worüber er in einen Rechner eindringen kann. Anhand einer erhöhten Zugriffszahl auf den TCP-Port 139 läßt sich der Wurm feststellen denn über diesen Port infiziert er den Rechner des Anwenders mit weiteren virtuellen Störenfrieden.

Der TCP-Port 139 ist zwar per Internet nicht zu erreichen aber da zahlreiche Anwender noch keine Firewall auf ihre Rechner installiert haben nutzen virtuelle Störenfriede das Sicherheitsleck aus. Das Virenschutzunternehmen CipherTrust meldete ein Plus von 214.000 auf 265.000 Rechner die durch Sicherheitslecks zu Zombie-Rechnern wurden und als Spamversender genutzt werden.

Sobald Vanebot-A einen Rechner infiziert hat baut er einen Kontakt zu einem IRC-Server auf und empfängt über den Port 4915 dann Befehle eines Cyberkriminellen. Er ist in der Lage sensible Zugangsdaten der Anbieter Ebay, Paypal und e-Gold zu entwenden und kann DDoS-Angriffe starten.