Wie es heißt, prüft der Trojaner zunächst, ob der Nutzer mit Hilfe eines drahtlosen oder eines kabelgebundenen Routers ins Netz geht. Dann probiert er eine Reihe von Benutzer-/Kennwort-Kombinationen aus, um sich Zugang zu den Router-Einstellungen zu verschaffen.
Gelingt dem Trojaner der Zugang zu Router, ändert er dessen DNS-Tabelle, sodass sämtlicher Datenverkehr in Zukunft zunächst das Netz des Angreifers durchläuft. Daraus ergeben sich etliche Angriffsszenarien, beispielsweise die Umleitung auf gefälsche Websites beim Aufruf der Online-Banking-Seite, oder Man-in-the-Middel-Attacken, um verschlüsselte Verbindungen zu manipulieren oder abzuhören.