El troyano llega a los usuarios de una manera totalmente inocente. A través de las redes de mensajería instantánea se invita a los usuarios a visitar una determinada página con distintos mensajes sugerentes.

Una vez en ese lugar, el usuario descarga un código javascript que modifica su página de inicio (pasa a ser TargetSearch), su herramienta de búsqueda predefinida (que también se carga cuando no encuentra una dirección determinada en la red) y muestra aleatoriamente mensajes publicitarios en formato pop-up en el escritorio.

El método de ataque es muy similar al utilizado por Download.Ject aunque su código es algo distinto.