Những biến thể của loại mã độc này có từ năm 2014 và được phát tán qua những thư rác , mặc dù nó là file JavaScript nhưng lại không chạy được trong trình duyệt  , nhưng lại qua Windows Script Host , là công cụ thực thi JavaScript trong Windows .

Khi xem xét mã nguồn của mã độc này người dùng thông thường chỉ thấy những kí tự ngẫu nhiên . Các chuyên gia cho biết Script trong mã độc này đã làm những bước sau :

1. Tạo thư mục mới trong thư mục AppDataRoaming và giấu nó bằng từ khóa Registry mới .
2. Sao chép ứng dụng wscript.exe hợp lệ của Windows bên trong thư mục này và tạo ra tên file ngẫu nhiên .
3. Tự sao chép vào thư mục này và tự tạo ra Shortcut có tên “Start” và đặt nó trong thư mục “Startup” có thể truy cập qua Windows Start Menu .
4. Gán biểu tượng thư mục giả mạo tới Shortcut Start để khiến cho người dùng nghĩ rằng đó là một thư mục chứ không  phải một file .
5. Kiểm tra kết nối Internet bằng cách thử truy cập tới trang Microsoft , Google hoặc Bing.
6. Gửi dữ liệu từ xa tới urchintelemetry[.]com và tải và chạy file đã được mã hóa từ 95.153.31[.]22 .
7. File mã hóa là JavaScript khác thiết lập trang Homepage của Chrome , FireFox và Internet Explorer thành login.hhtxnet[.]com , định hướng người dùng tới trang khác : portalne[.]ws .
8. Script cuối cùng dùng WMI (Windows Management Instrumentation) để kiểm tra phần mềm bảo vệ .
9. Nếu Script tìm thấy phần mềm bảo vệ nó sẽ ngừng thực thi và đưa ra thông báo giả mạo .
10. Nếu người dùng thấy process wscript.exe trong Task Manager và thử tắt process này nó sẽ thực hiện lệnh CLI ngay lập tức tắt máy .
11. Khi người dùng khởi động lại máy , do script “Start” trong menu Start , thì mã độc JavaScript lại bắt đầu hoạt động .