Schädliche Anzeigen schleusen ausführbare HTA-Dateien ein. Diese HTML-Anwendungen wiederum starten eine Infektionskette, die Nodersok einschleust. Die Malware installiert schließlich einen Proxy-Server, der unter anderem für Klickbetrug genutzt wird.
