Programišiai kenkėjui panaudojo keletą komercinių „pakuotojų“ ir klaidinančius metodus, šifravimą bei skirtingus veikimo etapus, todėl jis ne iš karto buvo atpažintas kai kurių antivirusinių programų.
Virusas platinamas per pažeistas svetaines. Lenkijos bankų atveju, buvo pažeista oficiali Lenkijos finansų priežiūros institucijos (Komisja Nadzoru Finansowego) internetinė svetainė, kuri vartotojams atidarydavo kenksmingą nukreipimo puslapį (angl. landing page). Pasak ESET, tas pats scenarijus taikytas ir kitose šalyse, pavyzdžiui, Meksikoje buvo pažeistas nacionalinių bankų ir vertybinių popierių komisijos (Comisión Nacional Bancaria y de Valores) puslapis.
Patekęs į kompiuterį virusas bando susisiekti su kontrolės ir valdymo serveriu, kad gautų tolimesnius nurodymus – kenkėjas gali užmigdyti kompiuterį, trinti ir atsisiųsti failus, paleisti programas, ištraukti informaciją ir vykdyti daugybę kitų komandų. Visas komunikacijos srautas yra užšifruotas.
ESET saugumo tyrėjai nustatė, kad kenkėjo operatoriai komandoms naudoja transliteraciją – rusiškus žodžius rašo lotyniškomis raidėmis. Tačiau šis faktas neatskleidžia, kas iš tikro rengia atakas prieš finansines institucijas.
Nustatyta, kad atakose buvo naudojami šie kenkėjo variantai: „Win64/Spy.Banker.AX“, „Wind32/Spy.Banker.ADQH“, „Win32/Spy.Banker.ADRO“.
