Загрузочный компонент Medfos устанавливается в каталог %AppData% и добавляет свои записи в системный реестр для усложнения его детектирования.
После первичной установки вируса на систему с командного сервера загружается и устанавливается дополнительный компонент. Основная задача этого компонента, как и всего вируса в целом, состоит в подмене результатов поиска в интернете.
Для выполнения своей функции Medfos встраивается в работу web-обозревателей, и может делать это различными способами. Так, основной модуль вируса может внедряться в процесс Internet Explorer, что не позволяет пользователю определить вредоносную активность. В остальные браузеры, например, Mozilla Firefox, вредоносная программа вставляет собственный плагин, который на первый взгляд выглядит легитимным и выполняет полезные функции.
Если пользователь зараженной системы отправляет поисковый запрос одной из популярных поисковых систем, командный сервер получает данные, как о содержимом этого запроса, так и об используемой поисковой системе. После этого система пользователя переходит по URL адресу, который присылает C&C сервер.