Kenkėjo operatoriai komandoms naudoja transliteraciją – rusiškus žodžius rašo lotyniškomis raidėmis. Tačiau šis faktas neatskleidžia, kas iš tikro rengia atakas prieš finansines institucijas.
Programišiai kenkėjui panaudojo keletą komercinių „pakuotojų“ ir klaidinančius metodus, šifravimą bei skirtingus veikimo etapus, todėl jis ne iš karto buvo atpažintas kai kurių antivirusinių programų, skelbiama ESET saugumo ekspertai cituojami „Baltimax“ pranešime.
Virusas platinamas per pažeistas svetaines. Lenkijos bankų atveju, buvo pažeista oficiali Lenkijos finansų priežiūros institucijos, lenkiškai „Komisji Nadzoru Finansowego“, internetinė svetainė, kuri vartotojams atidarydavo kenksmingą nukreipimo puslapį (angl. landing page).
Tas pats scenarijus taikytas ir kitose šalyse, pavyzdžiui, Meksikoje buvo pažeistas nacionalinių bankų ir vertybinių popierių komisijos (isp. Comisión Nacional Bancaria y de Valores) puslapis.
Patekęs į kompiuterį virusas bando susisiekti su kontrolės ir valdymo serveriu, kad gautų tolimesnius nurodymus – kenkėjas gali užmigdyti kompiuterį, trinti ir atsisiųsti failus, paleisti programas, ištraukti informaciją ir vykdyti daugybę kitų komandų. Visas komunikacijos srautas yra užšifruotas.
Nustatyta, kad atakose buvo naudojami šie kenkėjo variantai: „Win64/Spy.Banker.AX“, „Wind32/Spy.Banker.ADQH“, „Win32/Spy.Banker.ADRO“.
