Site-urile web ale atacatorilor sunt gazduite in Marea Britanie, Germania si Estonia si folosesc un server DNS redundant care face trimitere la cinci adrese IP diferite. Astfel este asigurata functionarea in cazul caderii unuia dintre serverele web construite de catre atacatori si sunt repartizate solicitarile pentru a nu incarca excesiv unul dintre servere.

Fiecare site contine coduri de exploatare ale aceleiasi vulnerabilitati - MS06-014 - care incearca sa instaleze un troian downloader fara a fi necesara vreo interactiune din partea utilizatorului.

Cand un utilizator viziteaza unul dintre site-uri, acesta este directionat catre unul dintre cele cinci servere compromise care descarca un fisier numit "iexplorer.exe" pe sistemele vulnerabile. Intre timp, utilizatorii sunt informati ca site-ul este pentru moment supraincarcat si nu poate raspunde solicitarilor. Hackerii sugereaza de asemenea dezactivarea aplicatiilor firewall si antivirus, in cazul in care acestea sunt prezente pe sistem.