Фахівці з кібербезпеки з Лабораторії Касперського виявили масове поширення вірусу через YouTube. Зловмисники націлені на категорію гравців, залишаючи посилання на безкоштовні версії найпопулярніших ігор з читами. Закручений архів встановлює в систему жертв криптомайнер і троян для збору інформації. Крім того, деякі файли сприяють подальшому розповсюдженню шкідливої реклами. Вони отримують та розміщують рекламні ролики з посиланнями на бадл від імені жертви.
Найчастіше використовуються назви наступних ігор: APB Reloaded, CrossFire, DayZ, Dying Light 2, F1 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat, Walken.
архів, що саморозпаковується, що містить виконувані файли і допоміжні скрипти. Після розпакування запускаються троян cool.exe, майнер ***.exe (ім’я файлу приховано через ненормативну лексику) та AutoRun.exe, який копіює себе в папку %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup і запускає перший із bat-файлів. Два скрипти виконують запуск MakiseKurisu.exe, download.exe та upload.exe, які відповідають за самопоширення бандла, а також утиліти nir.exe, що приховують іконки активних вірусів. Файл MakiseKurisu призначений для крадіжки паролів. Здобута інформація використовується для отримання доступу до облікового запису YouTube для подальшого розповсюдження реклами.