Die vermeintlichen Updates nutzen die Icons der Originalprogramme und sind auch sonst äußerlich nicht von tatsächlichen Updates zu unterscheiden.
Nach dem Programmstart aktivieren die Programme einen DHCP-Client, einen DNS-Client, eine Netzwerkfreigabe und sie öffnen einen Port, um Kommandos eines Angreifers empfangen zu können.
Die Experten von Sunbelt raten grundsätzlich davon ab, Update-Aufforderungen per E-Mail nachzukommmen, und stattdessen die software-eigenen Update-Routinen respektive die systemeigene Update-Funktion von Windows zu nutzen.