Лаборатория Касперского опубликовала разбор вредоносного ПО, отличающийся применением сразу нескольких интересных подходов. Во-первых, вредоносное ПО носило многоплатформенный характер и поражало системы на базе Windows и Mac OS X, эксплуатируя уязвимости в необновлённом плагине Java (теоретически, данное ПО может быть адаптировано и для атаки на Linux).

Во-вторых, вредоносное ПО не сохраняло никаких данных на диск и работало исключительно в памяти процесса javaw, что существенно усложнило выявление антивирусами, но позволило сохранить работоспособность только до первого перезапуска. Проблема с небольшим временем жизни зловредного ПО была решена через обеспечение высокой вероятности повторного поражения, для чего эксплуатирующий уязвимость код был интегрирован в рекламные блоки одного из клиентов сети AdFox, материалы которой размещаются на ряде крупнейших новостных сайтов, таких как РИА Новости и Газета.Ру. Подразумевалось, что пользователь регулярно посещает один и тот же новостной сайт, поэтому заражение будет происходить вновь и вновь.

После активации, вредоносное ПО осуществляло отправку на сервер злоумышленников истории посещений сайтов и запросы на получение управляющих команд. В случае, когда среди сайтов встречались службы online-банкинга, на машину жертвы дополнительно устанавливалось троянское ПО Lurk, пытающееся перехватить данные платёжных идентификаторов пользователя для последующей кражи средств с банковских счетов.