Согласно уже известным данным, «вирус» сперва высвечивается перед пользователем, как стандартное уведомление о пометке в записях и комментариях. При попытке перейти непосредственно на само сообщение, происходит переадресация на портал, представляющий собой точную копию Facebook, являющуюся фишинговым сайтом.
Следующим шагом, начинается автоматическая установка некого приложения в расширения для Google Chrome. Прочие пользователи сообщают о переброске на сайты с непристойным содержимым. Всего пару недель назад вьетнамским пользователем обнаруживал подобную атаку, в ходе которой при переходе по сокращенной ссылке начинало устанавливаться приложение «Buz».