Під виглядом шуканої інформації до користувача на комп'ютер потрапляє виконуваний файл, після запуску якого відкривається вікно Провідника Windows. Тим часом шкідлива програма вже встановлюється в систему і здійснює пошук встановленого в ній антивіруса.
Після того як пошук завершено, проводиться перезавантаження комп'ютера в безпечному режимі Windows, і встановлений в системі антивірус видаляється. При цьому в арсеналі програми існують процедури видалення багатьох популярних антивірусних продуктів, відзначають фахівці "Доктор Веб".
Так як модуль самозахисту Dr.Web SelfPROtect працює і в безпечному режимі Windows, для видалення Dr.Web троянець використовував додатковий компонент (Trojan.AVKill.2942), який експлуатує уразливість даного модуля. До теперішнього часу дана уразливість закрита. Для видалення інших антивірусних продуктів троянці додаткові модулі не були потрібні.
Після розблокування комп'ютера троянець імітує встановлений до зараження антивірус з допомогою компонента, який визначається Dr.Web як Trojan.Fakealert.19448. В області повідомлень Windows відображається значок, ідентичний тому антивірусу, який працював в системі раніше до його видалення. При натисканні на цьому значку відображається вікно, схоже на вікно інтерфейсу віддаленого антивіруса, з повідомленням про те, що комп'ютер нібито як і раніше знаходиться під захистом.
При натисканні на зображенні вона закривається. Таким чином, для непідготовлених користувачів створюється ілюзія, що антивірусний захист системи продовжує працювати в штатному режимі.