Троян "поставляется" через электронную почту, в письмах с вложенным HTML-файлом, загружающим ZIP-архив с паролем. После разархивирования пользователь находит ISO-образ c файлом calc.exe, подменяющим настоящую программу "Календарь", встроенную в Windows 7, а также две библиотеки с DLL-библиотеками — WindowsCodecs.dll и 7533.dll.
Кроме этих файлов внутри образа находится ярлык с расширениям "lnk.", который выдаёт себя за PDF-файл c важной информацией, или за файл, который открывается в браузере Microsoft Edge. Но при открытии этого файла запускается заражение компьютера.
Это происходит посредствам загрузки файлом calc.exe библиотеки WindowsCodecs.dll — с названием таким же, как и у оригинальной, в результате чего фальшивая библиотека подменяет системную.
Как отмечается, на более новых поколениях Windows подобной уязвимости нет.
