트로이목마는 악성코드를 개별PC에 심어놓고 일정시점이 되면 동시다발로 행동에 나서도록 하는 방식으로 장애를 일으킨다.
안랩은 이 악성코드가 각 기업의 내부망에 있는 안랩의 통합자산관리(APC) 서버를 거쳐, 이와 연결된 PC에 전파됐다고 확인했다. 자산관리서버란 기업의 내부망에서 최신 소프트웨어(SW)로 유지되는지 중앙에서 관리하는 서버를 뜻한다. KT, LG유플러스 등의 IDC센터에 있는 외부망인 업데이트 서버와는 차이가 있다.
자산관리서버를 통해 각 개별PC에 심어진 악성코드는 PC가 부팅되는데 필수 영역인 MBR(Master Boot Record)을 손상시켰다. 이 때문에 방송사의 수천대의 PC가 일제히 부팅이 안 됐던 것이다.
이 악성코드는 또 부팅영역 외에 PC 내의 문서 등 데이터를 손상시키거나 삭제한다. OS가 윈도우 VISTA와 윈도우7의 경우 모든 데이터가 손상되며, 윈도우 XP와 윈도우 2003의 서버는 일부가 손상된다고 안랩은 밝혔다.