Trojan.Flush.M macht aus jedem infizierten PC einen bösartigen DHCP-Server, indem der Schädling einen voll funktionstüchtigen Netzwerktreiber (NDISprot) installiert. Um den Treiber verlässlich zu laden, fügt der Trojaner noch einen neuen Systemdienst hinzu (ArcNet NDIS Protocol Driver). NDISprot erkennt DHCP-Anfragen anderer Clients im Netzwerk erkennen und kann sich selbst als DHCP-Server ausgeben. Gewinnt der gefälschte DHCP-Server das Rennen um die Antwort an den Client gegen den legitimen DHCP-Server des jeweiligen Netzes, verwirft der anfragende Client die langsamere Antwort.
Jeder Client, der seine IP-Daten vom bösartigen DHCP-Server bezieht, bekommt neben den jeweils gültigen Werten für IP-Adresse und Subnetz zwei IP-Adressen von DNS-Server (85.255.112.36 und 85.255.112.41) untergejubelt. Diese DNS-Server stehen unter der Kontrolle der Cyber-Kriminellen, so dass alle Namensanfragen der – an sich nicht infizierten – Clients prinzipiell mit gefälschten IP-Adressen beantwortet werden können. Somit können die Angreifer jeden beliebigen Aufruf einer Website auf von ihnen bestimmte (Phishing)-Seiten umleiten.
Bereits ein einziger infizierter PC genügt theoretisch, um alle DNS-Anfragen eines ganzen Unternehmensnetzwerkes zu den Nameservern der Kriminellen zu schicken. In der Praxis wird dies jedoch kaum vorkommen, da der legitime DHCP-Server nicht jedes Rennen gegen die bösartige Komponente verliert. Außerdem hat sich der Trojaner laut Symantec bislang kaum verbreitet, so dass die Antiviren-Spezialisten Trojan.Flush.M lediglich als geringe Gefahr einstufen.
Schutz vor dem DHCP-Trojaner sollten die üblichen Anti-Viren-Programme bieten, da der Schädling inzwischen in die Signatufiles der Scanner eingeflossen sein sollte. Darüberhinaus können Administratoren die Router und Firewalls im Unternehmen so konfigurieren, dass alle von Clients stammenden und ans Internet gerichteten DNS-Anfragen blockiert werden und lediglich der Intranet-DNS-Server mit der Außenwelt kommunizieren darf. Auf diese Weise fällt eine Attacke zudem schnell auf, da die mit gefälschten DNS-Einträgen versorgen Clients keine Namen mehr auflösen können.