Сообщается, что использованная схема включала в себя группу атакующих, которые зарегистрировали доменное имя, всего на одну букву отличающееся от сайта известной рекламной компании ADSHuffle.com. Атакующие использовали домен ADSufffle.com, чтобы размещать на сайте вредоносное программное обеспечение. Известно, что злоумышленники использовали как графическую, так и текстовую рекламу.

На сайте применялись сразу несколько типов вредоносного программного обеспечения, большая часть которого инсталлировалась посредством Drive-by скачек.

В компании Armorize, обнаружившей мошенническую схему, говорят, что прежде эта схема достаточно редко использовалась мошенниками, причем прежде она довольно быстро отлавливалась рекламными сетями. Новая недельная рекламная кампания поставила своего рода рекорд по длительности.

В сообщении Armorize говорится, что злонамеренные баннеры располагались на различных серверах MSN и Doubleclick, например на rad.msn.com, scout.com (принадлежит DoubleClick), realestate.msn.com, msnbc.com и mail.live.com, причем некоторые из этих площадок сами были замечены в рекламе вредоносных сайтов за счет работы автоматической системы показа баннеров.

Для заражения компьютеров пользователей злоумышленники применяли самые разные схемы - предлагали фальшивые антивирусы, зараженную вирусами программу HDD Plus, несуществующие аудио и видео-кодеки. В реальности на сайрах размещались многочисленные эксплоит-паки, такие как Eleonore, Neosploit и другие. Все атаки полагались на уязвимости в программном обеспечении Adobe Reader и веб-браузерах.

Технические директор Armorize Уэйн Хуанг комментирует ситуацию: "Мы связались с DoubleClick спустя несколько часов после обнаружения проблемы и консультаций с независимыми специалистами по безопасности. Ответ, который нам дали в DoubleClick, был довольно оперативным, там сообщили, что занимаются этой ситуацией".