При запуске троянца происходит авторизация аккаунта Google и обращение к странице одной из персональных конференций, где в зашифрованном виде хранятся команды для выполнения вредоносной программой. Проанализировав исходный код, специалисты Symantec пришли к выводу, что обнаруженный троянец — это прототип, основной задачей которого является проверка пригодности Internet-конференций для использования в качестве командных и управляющих структур.