Adatot gyűjt
A fertőzött emailek eltévedt, erotikus képeket tartalmazó magánlevélnek látszanak, "Re[2] Mary" tárgymegjelöléssel és egy Private.zip nevű csatolt fájllal érkeznek. Ebben a Wendynaked.jpg.exe fájl található, ami maga a trójai.
Ha a programot a felhasználó lefuttatja, az Andey bemásolja magát a Windows könyvtárba Sysdeb32.exe néven - a tömörített fájl mérete 11 808 bájt -, majd létrehoz egy registry kulcsot, amely ezt követően minden rendszerindításkor lefuttatja a gépen a trójai programot.
A trójai értékes információkat gyűjt a fertőzött gépről, majd HTTP kapcsolaton keresztül továbbítja ezeket a Finance.red-host.com szerverre. Az adatok között szerepel például a felhasználó emailfiókjainak címe és jelszava, az IP-cím, de a netkapcsolat sebessége és a bekapcsolás óta eltelt idő is.
Gyanúba kever
Az Andey helyben is tárolja az információkat, a C:\temp35.txt és a \%Windir%\svc.sav fájlokban. Amennyiben a trójai új programmodulokat tölt le, azokat a C:\tmp.exe fájlba másolja és lefuttatja.
Az Andey trójai program legveszélyesebb tulajdonsága, hogy az 5555-ös TCP porton hátsó ajtót nyit, amelyen keresztül a hackerek távolról uralmuk alá hajthatják a fertőzött gépet.
A trójai emellett rendszeresen kapcsolódni próbál a Kernel.org címhez, ez a viselkedés elosztott szolgáltatás-megtagadás (DDoS) támadásra utal. Az Andeyban elrejtett hamis copyright üzenet (Written By Adrey Karimov [www.proantivirus.com]) megpróbál gyanúba keverni egy antivírus céget is.