В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличность в ней треков банковских карт. Этот код злоумышленники позаимствовали у иной назначенной для заражения POS-терминалов вредоносной программы, знаменитой под именем Trojan.PWS.Dexter. Обнаруженные треки и иные перехваченные настоящие троянец передает на ворочающий сервер. Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти требования троянец дублирует на относящийся злоумышленникам ворочающий сервер. Кроме того, настоящая вредоносная программа может выполнять вытекающие команды:
CMD – передает зачислившуюся директиву командному интерпретатору CMD;
LOADER - скачивает и запускает файл(dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется прямой запуск);
UPDATE – команда обновления;
rate – задает временной интервал сеансов связи с ворочающим сервером;
FIND - отыскание документов по личине;
DDOS – взяться DDoS-атаку методом http-flood.
Часть кода прежде встречалась в составе иной вредоносной программы — многофункционального бэкдора BackDoor.Neutrino.50, урезанной и сжатой версией какого по сути и изображает Trojan.MWZLesson.