Ziel der Malware ist es, Windows-Rechner komplett lahmzulegen. Dafür geht sie in mehreren Schritten vor. Wird ein Computer infiziert, wird zuerst eine Datei mit einem zufälligen Dateinamen installiert, die anschließend versucht, das Netzwerk weiter zu infiltrieren, also alle verbundenen Rechner ebenfalls zu befallen. In einem zweiten Schritt sammelt der Schädling Daten. Dabei greift er sowohl die im Browser gespeicherten Kennwörter als auch System-Log-ins ab. Diese Informationen werden anschließend an einen Command-and-Control-Server gesendet, von wo sie dann wiederum an andere Installationen der Schad-Software weitergegeben werden. Diese lernen so ständig dazu.
Hat der Destroyer die Daten abgeschöpft, geht er an seine nächste Aufgabe und legt die aktuelle Installation lahm. Um das zu erreichen, wird für alle aktiven Prozesse ein Wert von „4“ in der ChangeServiceConfig W-API eingetragen, um zu verhindern, dass diese beim Hochfahren des Rechners erneut gestartet werden können. Außerdem verändert die Malware verschiedene Dateien über die Windows-Kommandozeile cmd.exe. Ist auch dieser Vorgang abgeschlossen, wird der infizierte Computer heruntergefahren und kann nicht ohne Weiteres wieder gestartet werden. Noch unbekannt ist bisher der Verbreitungsweg.
Die Techniker in Pyeongchang konnten ihr System nach rund einem halben Tag wieder zum Laufen bringen. Fest steht nach der Attacke allerdings, dass diejenigen Stimmen, die bereits im Vorfeld der Olympischen Spiele vor einer möglichen Bedrohung durch Hacker gewarnt hatten, Recht behalten haben. Jetzt bleibt nur zu hoffen, dass der Rest der Winterspiele friedlich und ohne weitere Cyber-Angriffe abläuft.