Oba programy mają bardzo podobny zestaw funkcji – służą do przechwytywania danych kart płatniczych używanych w zainfekowanych terminalach i wysyłania ich na serwer kontrolowany przez przestępców. Informacje te mogą zostać później wykorzystane do tworzenia kopii (tzw. klonów) kart.

Serwery namierzone przez pracowników Arbor Networks były aktywne od blisko miesiąca – jeden z nich wykorzystywano do gromadzenia danych z terminali znajdujących się w kilku krajach z całego świata, drugi zbierał dane z zarażonych terminali w Europie i USA.

Z analiz przeprowadzonych przez firmę wynika, że celem przestępców były głównie niewielkie sklepy i firmy – wybierano je z uwagi na stosunkowo słabe zabezpieczenia i małą wiedzę informatyczną osób obsługujących terminale (pozwalało to na stosunkowo łatwe przeprowadzenie ataku i ukrycie złośliwego programu w systemie). Specjaliści obawiają się jednak, że to zjawisko – atakowanie terminali w celu przechwytywania danych kart płatniczych – będzie się nasilało, ponieważ jest szybkim i skutecznym sposobem zarabiania na złośliwym oprogramowaniu.