Das Sicherheitsunternehmen Eset hat nun die Vorgehensweise des Bots dokumentiert.Demzufolge sei die Malware ausschließlich über einen Eintrag in der Windows-Registry identifizierbar. Dieser soll sicherstellen, dass die Schadsoftware auch nach einem Neustart funktionsfähig bleibt. Der Registry-Eintrag startet wiederum bei jedem Systemstart über den Windows Explorer und cmd.exe eine Powershell-Instanz.
Weiteren Schadcode lädt die Malware anschließend per Powershell-Script herunter und speichert diesen im Arbeitsspeicher. Dadurch nistet sich die Win32/Bedep-Variante dauerhaft auf dem System ein, wobei nur der Registry-Eintrag Hinweise auf die Schadsoftware liefert. Sämtliche anderen Bestandteile werden stets neu in den Arbeitsspeicher geladen, auf der Festplatte wird hingegen kein Schadcode gespeichert.