Beim Aufrufen der manipulierten Seite - die täglich bereits fast eine Million Aufrufe verzeichnen konnte - wird, so fasst Heise zusammen, verschlüsselter Code in Javascript ausgeführt. Die Malware scant zuerst interne IP-Adressen und versucht, jene des Routers auszumachen und sein Modell zu erkennen. Danach erfolgt der Versuch, diesen zu kompromittieren. Das geschieht entweder durch das Ausnutzen bekannter Sicherheitslücken oder durch einen Dictionary-Angriff mit üblichen Standard-Logins wie etwa dem Nutzernamen "admin" und dem Passwort "root".
Betroffen sind über 50 Geräte verschiedener Hersteller und Marken. Darunter befinden sich beispielsweise Netgear, Asus, Linksys, Belkin und Zyxel. Auch D-Link-Router sind verwundbar, wobei die Malware auch eine erst vor wenigen Monaten aufgetauchte Lücke ausnutzt, die mittlerweile mit einem Update behoben wurde.
Zur Absicherung wird empfohlen, stets die aktuellste Firmware zu nutzen und zumindest das Standardpasswort für den Zugang zur Router-Administration mit einem eigenen Kennwort zu ersetzen. Gleichzeitig stehen die Hersteller in der Pflicht, bei der Updateversorgung in Zukunft schneller zu arbeiten.