Прежде всего, Trojan.MulDrop.17829 расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Сохраненный файл также определяется как Trojan.Packed.1198, так как в нем употребляется упаковщик, схожий с тем, что применяется в исходном файле. Ещё в системе сохраняется файл figaro.sys. При загрузке драйвера троян временно заменяет им драйвер beep.sys, что позволяет маскировать запуск своих драйверов от многих антируткит-утилит. В завершение троян уничтожает исходный файл и перезагружает систему.

Активность трояна состоит в изменении настроек зон безопасности Windows, отключении предупреждения Windows об отсутствии антивируса, выключенном встроенном файерволле, а кроме того обновлений. При этом встроенный файерволл также отключается. После этого троян удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на www.google.com. В конце концов, троян выводит извещение о том, что компьютер инфицирован и предлагает скачать снадобье борьбы. Интересная специфика содержится в том, что он скачивает вредоносные файлы ещё до вывода сообщения о заражении системы пользователя.

Пик спам-рассылок с Trojan.Packed.1198 пришелся на 20-22 октября. С 25 октября в на практике идентичных письмах началась рассылка вредоносных программ, определяемых Dr.Web как Trojan.PWS.Panda.31.

Компания "Доктор Веб" предостерегает всех пользователей от запуска вложений из писем, которые приходят с неизвестных адресов, и советует быть больше бдительными к рассмотрению предложений вирусописателей.