Trojan SpamThru używa zmodyfikowanego antywirusa w celu chronienia komputera przed atakami innego złosliwego oprogramowania.

Po zainfekowaniu komputera, trojan pobiera piracką wersję Kaspersky AntiVirus for WinGate, która instalowana jest w ukrytym katalogu. Po oszukaniu licencji programu i 10-minutowej przerwie dochodzi do skanowania przejętego systemu i wyeliminowania wszelkich szkodliwych programów będących "konkurencją" dla SpamThru.

Dzięki ingerencji w program antywirusowy, pliki trojana SpamThru pozostają nietknięte. Komputery przejęte przez trojana służą do rozsyłania spamu; szkodnik potrafi także samodzielnie generować przesyłki.

Dokładna analioza działalności trojana znajduje się na witrynie SecureWorks. Wcześniej znane już były przypadki złośliwego oprogramowania deaktywującego lub kasującego inne szkodniki obecne w sytemie, po raz pierwszy jednak do tego celu wykorzystywany jest program antywirusowy.