Шкідлива програма починає роботу з копіювання, перейменування та переміщення файлу wscript.exe. Нова папка, куди міститься файл, знаходиться в AppData\Roaming. У цій же папці вірус створює власну копію і запускає виконання скрипту за допомогою копії wscript.exe. Щоб сховати папку, він використовує наступний ключ реєстрації:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000002

"ShowSuperHidden"=dword:00000000.

Далі в папці Startupпрограма створює ярлик під назвою Start, який вказує на неї саму. Для графічного позначення ярлика використовується іконка папки, тому користувач не здогадується, що перед ним файл. Спроба відкрити папку призводить до запуску скрипта.

На наступному етапі роботи вірус перевіряє підключення до інтернету, зв'язавшись з Microsoft, Google або Bing. Далі програма встановлює з'єднання з адресою urchintelemetry.com і відсилає туди всі ідентифікаційні дані зараженого комп'ютера. Одночасно вірус зв'язується з адресою 95.153.31.22, щоб завантажити з його зашифрований файл, теж написаний на JavaScript.

Цей файл замінює домашню сторінку інтернет-браузера на адресу login.hhtxnet.com з подальшою переадресацією на ресурс portalne.ws. Відкривши браузер, користувач потрапляє на цю сторінку. При спробі зайти на сайт моделі CnC, відвідуваний сайт виглядає неробочим. При користуванні коректним методом запиту POST користувач отримує відповідь від сайтів, але не бачить її — він захований у тезі основного тексту.

Крім того, другий файл на JavaScript проводить пошук інструментів захисту на комп'ютері за допомогою WindowsManagementInstrumentation. Якщо якийсь інструмент становить для нього небезпеку, вірус завершує його роботу, видавши підроблене повідомлення про помилку. Якщо ж користувач вважатиме процес wscript.exe підозрілим і спробує його перервати вручну, скрипт віддасть команду вимкнути комп'ютер. Повторний запуск машини потягне за негайне відновлення роботи Start, оскільки він знаходиться в папці автозавантаження.