Cyberprzestępcy wykorzystują błąd w obsłudze plików MIDI. Do przeprowadzenia ataku, oprócz odpowiednio spreparowanego pliki MIDI, używają pliku HTML osadzającego kontrolkę Windows Media Playera oraz plik JavaScript. Dzięki plikowi MIDI realizowane jest samo wykorzystanie luki. Następnie za pomocą JavaScriptu dekodowany i uruchamiany jest shellcode zawarty w kodzie HTML. Shellcode ściąga potem zaszyfrowanego wirusa, odszyfrowuje go i uruchamia. To jednak nie koniec. Wirus ten dostarcza funkcji typowych dla rootkita, pozwalając ukryć się w systemie, a właściwy cel atakującego realizowany jest przez kolejnego wirusa, ściąganego przez rootkit. Jego zadaniem jest wykradanie loginów i haseł do koreańskich gier on-line.
Osoby, które nie mają włączonych aktualizacji automatycznych powinny jak najszybciej zainstalować poprawkę, nawet jeśli nie grają na koreańskich stronach. Wirusy bowiem mutują się i luka może być wykorzystywana wkrótce do innych szkodliwych celów.
