Lorsque le malware est placé sur une clé USB, il suffit de connecter cette dernière à l'ordinateur. Pour peu que l'exécution automatique soit activée, l'attaque est d'emblée générée. Celle-ci se caractérise par l'injection d'un fichier DLL camouflé par deux pilotes ayant obtenu un certificat validé par Verisign pour RealTek. S'ensuit l'injection de code au sein des processus du système.
Le correctif publié par Microsoft ne fait cependant pas l'unanimité puisque celui se contente de modifier quelques clés au sein de base de registre. Plus précisément, il désactive l'affichage des icône dans Windows. Finalement l'utilisateur se retrouve avec un bureau parsemé d'icônes blanches. Autant dire que l'ergonomie de la machine s'en verra affectée puisqu'à part le nom du fichier il sera plus difficile d'identifier clairement le raccourci correspondant à un logiciel ou à un fichier.
Rappelons que le malware est également capable de se propager sur les autres supports connectés en local ou en réseaux. Pour cette raison, les experts en sécurité informatique conseillaient de fermer le service WebClient de Windows permettant d'effectuer une connexion en WebDAV.
