Троян содержался в защищенных паролем макросах документа Microsoft Office с подложной рекомендацией активировать макросы. В случае активации происходило выполнение вредоносного кода и на инфицированную систему внедрялись скрытые сценарии трех типов.
В качестве маскировки Rovnix загружает драйвер руткита в неразмеченное пространство диска в формате NTFS, сообщает securitylab.ru. Троян изменяет программу начальной загрузки таким образом, что драйвер руткита загружается перед ОС, что позволяет вредоносному ПО оставаться незамеченным и устанавливать неподписанный драйвер в Windows 7 и более новые версии этой ОС.
95% устройств пострадавших от вредоноса, приходится на Германию, отдельные случаи инфицирования имели место в Великобритании, Голландии, Соединенных Штатах и Бельгии. Троян представляет опасность не только для индивидуальных, но и для корпоративных пользователей, поскольку обладает способностью похищать пароли и фиксировать нажатия клавиш.
Данному трояну свойственен алгоритм генерации доменных имен (DGA): имена основаны на комбинации слов из Декларации независимости США, Стандартной общественной лицензии ограниченного применения GNU, документов RFC и др.
