Записи в upd4t3 представляли собой короткие ссылки в кодировке base64. По этим ссылкам находились запакованные файлы, которые вредоносная программа могла скачать, разархивировать и получить из них подробные инструкции.
Так, одна из найденных Назарио ссылок содержала файл gbpm.dll, который, в свою очередь, содержал ряд адресов, по которым программы на зараженных компьютерах могли переправлять собранную информацию. Эксперт ознакомил администрацию Twitter с содержанием микроблога. Та заморозила учетную запись и начала расследование.
Ранее хакеры использовали самые разные способы для управления ботнетами. В частности, они отдавали команды через чат и пиринговые сети. Использования Twitter, крупнейшего микроблогерского сервиса, в этом качестве ранее заметно не было.