Вирус, названный Cisco Systems как Rombertik, перехватывает любой, даже самый простой текст, введенный в окне браузера. Далее вирус распространяется через спам и фишинговые письма. Rombertik легко проводит несколько серий проверок после своего запуска на компьютере под управлением Windows и продолжает действовать, определяя, детектируется ли он антивирусными программами. Последняя проверка – наиболее опасная. Вирус вычисляет 32-битный хэш ресурса в памяти, и если этот ресурс или же время компиляции были изменены, Rombertik запускает процесс самоуничтожения.Сначала целью программы становится главная загрузочная запись Master Boot Record (MBR) в первом секторе жесткого диска ПК, которую компьютер использует для загрузки операционной системы. Если Rombertik не может получить доступ к MBR, он уничтожает все файлы в домашней папке пользователя, шифруя каждый случайным ключом RC4. После того, как MBR или домашняя папка были зашифрованы, компьютер перезагружается, а MBR попадает в бесконечный цикл, не дающий компьютеру загрузиться.