El archivo adjunto posee otro comprimido llamado Missed-message.zip (Mensaje-perdido.zip) que al descomprimirlo se descarga una serie de archivos. El primero ejecuta otro código malicioso, llamado budha.exe y comienza a ejecutarse un proceso llamado kilf.exe y otro ejecutable de nombre aleatorio.
El primero limpia la escena y borra los archivos mencionados anteriormente gracias a un archivo de extensión BAT que también se eliminará a sí mismo.
Después se activará además ZBot, el malware detrás de la botnet Zeus. Pocos segundos luego de la ejecución del falso mensaje de voz, el único proceso presente será este malware. A lo largo de todo el ciclo, el malware manipulará los controladores de sonido del sistema operativo infectado, simulando ser un verdadero archivo de audio.
ESET informó también que la mayoría de las soluciones antimalware son capaces de eliminar esta amenaza.
