Вмешиваясь в работу процесса maratl.exe, запущенного в ОС терминала Windows, троян может подменять номер счета, на который пользователь осуществил платеж. В результате деньги могут попадать напрямую к злоумышленникам.
Заражение терминала может происходить через USB-флешку. Как только она подключается к терминалу (например, обслуживающим персоналом), происходит автозапуск вредоносной программы в виде исполняемого файла BackDoor.Pushnik, созданного в среде Delphi. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит задача загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.