Virus Bulletin zveřejnil detailní analýzu viru Mayhem, který se zaměřuje na webové servery a běží i na uživatelských účtech s omezenými právy. Kód je napsán v PHP a po spuštění kontaktuje jeden ze sedmi řídicích serverů pomocí HTTP POST požadavků. Následně může stahovat další soubory, spouštět úlohy, posílat data nebo načítat další pluginy.
Mayhem je modulární a je možné na dálku libovolně rozšiřovat jeho funkčnost. Analytici objevili zatím celkem osm pluginů, které hledají další napadnutelné weby, hádají hesla hrubou silou nebo sbírají na internetu užitečné informace. Jeden z pluginů se také snaží zneužít známou zranitelnost SSL Heartbleed.
Podle informací z řídicích serverů už bylo touto infekcí napadeno více než 1200 serverů, zejména ve Spojených státech, Rusku, Německu a Kanadě. Detaily naleznete v podrobné zprávě [PDF].