Этот вид вредоноса не блокируется стандартным антивирусным программным обеспечением и обычно служит для демонстрации навязчивой рекламы.
Пользователь обнаруживал после скачивания ярлык, при нажатии на который запускался вредоносный, сложный сценарий, подробности о котором сообщил «белый хакер» 0xffff0800.
Вирус заражает обозреватели, вставляя рекламные баннеры на страницы Википедии, поисковиков Google и Яндекс путем модификации файлов реестра Windows, обходя и отключая его защиту. Также малвар устанавливает в FireFox надстройку Firefox Protection и захватывает управление Chrome Media Router в одноименном обозревателе.
Если обычный пользователь будет обречен на просмотр навязчивой рекламы, то владельца кошелька Bitcoin ждет подмена адреса Получателя. Система уже давно опробована хакерами – никто не набирает адреса вручную, пользуясь функцией копирования, но в зараженном компьютере информация из буфера обмена будет заменена реквизитами хакера.