Попав на компьютер жертвы, вредонос анализирует установленные на нем приложения в поисках строк, связанных с банковским ПО. Затем в имени компьютера и пользователя Shade (детектируется антивирусными решениями ЛК как Trojan-Ransom.Win32.Shade.yb) ищет подстроки "BUH", "BUGAL", "БУХ" и "БУГАЛ". В случае обнаружение вышеперечисленных подстрок троян не шифрует файлы пользователя, а загружает по заданной в конфигурации ссылке файл, запускает его и выполняет.
Вредоносное ПО загружает на систему жертвы бот Teamspy, использующий для связи с C&C-сервером легальную утилиту для удаленного управления TeamViewer 6. Помимо него также скачиваются и сохраняются на диске в зашифрованном виде плагины, расшифровываемые трояном только в оперативной памяти. В расшифрованном виде плагин является динамически подключаемой библиотекой (DLL) с экспортом InitPg, вызываемым основным модулем бота.
Как пояснил Синицын, получение удаленного доступа к инфицированной бухгалтерской системе позволяет хакеру незаметно следить за активностью пользователя и получать подробную информацию о его платежеспособности с целью в дальнейшем применить наиболее эффективный способ получения денег.