Троянская программа первоначально была разослана при помощи спам рассылки.
После запуска троянец регистрирует себя в следующем ключе системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters \firewallpolicy\standardprofile\authorizedapplications\list] "<путь до троянской программы>"="<путь до троянской программы>:*:EnaBleD:cvv2"
Троянская программа скачивает из интернета другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение.