Троянець складається з двох компонентів: дроппера та динамічної бібліотеки, в якій і міститься основне шкідливе навантаження. У процесі встановлення на комп'ютер жертви дроппер створює власну копію в одній із папок на жорсткому диску та запускає себе на виконання. У операційній системі Microsoft Windows Vista для обходу системи контролю облікових записів користувачів (User Accounts Control, UAC) дроппер може запуститися під виглядом оновлення Java, зажадавши у користувача підтвердження завантаження програми. , яка вбудовується у всі запущені на інфікованому ПК процеси, проте продовжує роботу лише у процесах браузерів Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Chrome, Chromium, Mail.Ru Інтернет, Яндекс.Браузер, Рамблер Ніхром. Конфігураційний файл, що містить усі необхідні для роботи Trojan.Mods.1 дані, що зберігаються в зашифрованому вигляді в бібліотеці.

Основне функціональне призначення Trojan.Mods.1 — підміна сайтів, що переглядаються користувачем, що належать зловмисникам веб-сторінками шляхом перехоплення системних функцій, що відповідають за трансляцію DNS-імен сайтів в IP-адреси. Внаслідок діяльності троянця замість запитуваних інтернет-ресурсів користувач перенаправляється на шахрайські сторінки, де його просять вказати номер мобільного телефону, а також відповісти на надіслане з короткого номера 4012 SMS-повідомлення. Якщо жертва йде на поводу у шахраїв, то з її рахунку списується певна сума.