Wysyłane pliki przypominają zdjęcie. Użytkownicy, do których został przesłany wirus, zgłaszali, że nazywa się on "photo_XXXX.svg" (XXXX - zastępują losowe cyfry).
Po uruchomieniu pliku przeglądarka przekierowuje użytkownika na stronę internetową przypominającą serwis YouTube. Po włączeniu strony użytkownik jest informowany o potrzebie zainstalowania dodatkowego "kodeka video". Pobrana wtyczka to tak naprawdę rozszerzenie do przeglądarki, które daje dostęp do wszystkich uprawnień.
Co zrobić, gdy pobraliśmy plik?
Pobrany i uruchomiony plik nie jest łatwo usunąć z przeglądarki. Rozszerzenie uniemożliwia usunięcie dodatku z poziomu przeglądarki.
Jedyną możliwością jest ręczne usunięcie wtyczki. Po wyłączeniu przeglądarki użytkownik powinien odnaleźć plik “jegjfinhocnmomhpgmnbjambmgbifjbg“ w katalogu:
- Użytkownicy Windows 7, 8.1, i 10:
C:\Users\\AppData\Local\Google\Chrome\User Data\Default