این بدافزار با حملات لغتنامهای به سرویس های SSH
(Secure Shell) نفوذ می کند. به عبارت دیگر سیستم هایی که دارای گذرواژه های ضعیف هستند و ارتباط از راه دور از طریق پودمان SSH بر روی آنها فعال است، نسبت به این بدافزار آسیب پذیرند.
بدافزار مزبور پس از اجرا بر روی سیستم عامل قربانی با نشانی IP دستکاری شده و درگاه هایی خاص به سرورهای فرماندهی خود متصل می شود. در ادامه بدافزار اطلاعاتی را در خصوص سیستم عامل کاربر به مقر فرماندهی خود ارسال کرده و منتظر دستور اجرای حملات DoS باقی می ماند.
همچنین در زمان اجرای حمله، بدافزار اطلاعاتی همچون سرعت پردازشگر، بار سیستم و ترافیک شبکه را به مقر فرماندهی خود ارسال می کند.
در سیستم عامل Windows، بدافزار در مسیر C:\Program Files\DbProtectSupport\svchost.exe اجرا و بعنوان یک سرویس در زمان راه اندازی سیستم، شروع به فعالیت می کند. برخلاف Linux، در محیط Windows بدافزار برای ارتباط با مقر فرماندهی خود بجای IP از نام دامنه و درگاه هایی متفاوت استفاده می کند. علیرغم وجود تفاوت در روش برقراری ارتباط، هر دو گونه به یک سرور متصل می شوند. این موضوع می تواند این فرضیه که هر دو گونه این بدافزار توسط یک گروه نوشته شده اند را تایید کند.
ساختار این بدافزار نشان می دهد، هدف بدافزارنویسان اجرای حملات DoS اختصاصی از طریق کامپیوترهایی است که دارای پهنای باند شبکه ای زیاد، همچون سرورها می باشند. باتوجه به اینکه بسیاری از سرورها از سیستم عامل Linux بهره می برند، بدافزارنویسان کوشیده اند از طریق گونه Linux این بدافزار، از این سرورها برای اهداف خرابکارانه خود سوءاستفاده کنند.
با این حال این بدافزار تنها نمونه ای نیست که در هفته های اخیر سیستم های عامل Linux را مورد هدف قرار داده است. تجزیه و تحلیل یک محقق دانشگاه George Washington نیز نشان می دهد نفوذگران با سوءاستفاده از ضعف امنیتی قدیمی CVE-2012-1823 در PHP، بدافزاری به زبان Perl را بر روی سیستم های Linux اجرا می کنند. پس از فعال شدن بر روی سیستم قربانی، این بدافزار از طریق پودمان IRC با مقر فرماندهی خود ارتباط برقرار می کند. در ادامه، با سوءاستفاده از ضعفهای امنیتی دیگر مجوزهای دسترسی خود را بالا برده و به محض دریافت دستور از سوی مقر فرماندهی خود، حملات DoS را اجرا می کند. ضمن اینکه این نفوذگران از طریق این بدافزار، از سیستم قربانی بعنوان پویشگر آسیبپذیری دیگر سیستم ها نیز بهره می برند.
مدتی پیش نیز محققان شرکت Symantec اعلام کرده بودند گونه هایی از بدافزاری را یافته اند که علاوه بر سیستم های عامل Linux با معماری 32 بیتی، سیستم های دیگر Linux را نیز که دارای معماری ARM ،PPC ،MIPS و MIPSEL هستند، مورد هدف قرار می دهند. به عبارت دیگر علاوه بر کامپیوترهای شخصی تحت Linux، مسیریاب های خانگی، دوربینهای تحت IP و دیگر دستگاه های کاربردی که از Linux بعنوان سیستم عامل استفاده می کنند، نیز می توانند هدف این بدافزار جدید باشند.