Зараження шкідливою програмою виглядає наступним чином: користувач викачує торент-файл фільму або серіалу, після чого бачить набір нешкідливих програм і розширень, включаючи файли з розширеннями PMA (інсталятор для кодека), MP4 та LNK.
Шкідлива програма запускається після натискання саме на LNK-файл. Після установки GoBotKR починається збір системної інформації: дані про конфігурацію мережі, операційну систему, процесор та встановлені антивірусні програми. Ця інформація відправляється на командний C&C-сервер, розташований в Південній Кореї.
Список команд, які здатний виконувати бекдор (программа для несанкціонованного віддаленого доступу до комп’ютера), включає роздачу торентів через BitTorrent і uTorrent, організацію DDoS-атак, зміну фону робочого столу, копіювання вірусу в теки хмарних сховищ (Dropbox, OneDrive, Google Drive) або на змінний носій, запуск проксі або HTTP-сервера, зміну налаштувань брандмауера, включення або відключення диспетчера задач.
На думку експертів Eset, основною метою зловмисників є об’єднання заражених комп’ютерів в ботнет для здійснення DDoS-атак.
