A támadás hátterében egy többlépcsős folyamat áll: a kártevő DLL oldalbetöltést használ, amellyel a CLLRoader kártevőt futtatja le, ez tölti be a PNGLoader DLL-t, amely végül beolvassa a PNG-fájlokban rejtőző, kártékony kódot.
A kód egyébként a DropBoxControl, ami egy egyedi .NET C# infostealer, ez a program a Dropbox tárhelyszolgáltató használatával kommunikál és adatot is lop. Sajnos ez a rosszindulatú program számos parancsot támogat, beleértve a cmd /c futtatását, végrehajtható fájlokat képes elindítani. Ezen kívül adatokat képes fel- és letölteni a Dropboxba és onnan le.
Sőt ha ez nem lenne elég tud adatot törölni is a megfertőzött gépekről, de új könyvtárakat is létre tud hozni további hátsó kapuk részére, ehhez képest pedig az már szinte semmi, hogy minden rendszerinformációt ki tud nyerni a gépből is.
A szakemberek szerint a Worok egy olyan kiberkém csoport munkája, és saját fejlesztő eszközeit használja a vírusok létrehozására, ezért is lehet hogy elsősorban nagyobb horderejű áldozatok fertőződtek meg, például kormányzati szervezetek a Közel-Keleten, Délkelet-Ázsiában és Dél-Afrikában.