Trojan.Neloweg работает таким же образом, как и другой банковский троян — Zeus. Обе вредоносные программы определяют, на каком сайте находится пользователь и добавляют туда специальный JavaScript. Но если Zeus использует свой файл конфигурации, тоTrojan.Neloweg хранит данные на вредоносном сервере.

При переходе на известную страницу банка, Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере.

Троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого, авторы кода придали браузерам функции ботов. Браузер может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя.