Важно е да се уточни, че не всяко копие на снимката разпространява вируса. Всъщност, хакерите изпращат имейл с прикачен файл - документ за Microsoft Word. В него има скрипт, който при активирани макроси, изтегля от предварително зададен интернет адрес копие на снимката горе.
В това копие има зловреден код, който се представя като сертификат за сигурност. Чрез него кодът лъже антивирусния софтуер, че всичко е наред и остава незабелязан.
Според експертите, хакерите са избрали снимката поради няколко причини. Първата е популярността ѝ. Кадрите от телескопа се разпространяват широко и с това печелят доверие. НАСА публикува и оригиналните файлове, които са с много голям размер, което дава възможност за скриване на зловреден код, без това да буди подозрение. Така дори и антивирусен софтуер да засче проблем, вероятността потребителят да реши, че става дума за грешка и да позволи отварянето на кадъра, е голяма.
Самият зловреден код комуникира криптирано с командни сървъри. Чрез тях може да получава допълнителни команди какво да прави в системата на жертвата. Може да се използва и за извличане на данни от компрометираните компютри.
За сега няма данни колко мащабна е кампанията, какъв е броят на мишените, получили такива имейли и колко от тях са компрометирани. Експертите препоръчват да не се изтеглят прикачени файлове от недоверени и непознати податели, както и да се ограничат макросите. Фирмите могат да следят и за подозрителни и редовни DNS заявки или nslookup искания.