Valse advertenties voor Skype, Firefox en uTorrent die via Bing en Yahoo worden verspreid, leiden uiteindelijk naar een rootkit. Wie via de zoekmachines op termen als "FireFox Download" en "Download Skype" zoekt, krijgt een aantal gesponsorde resultaten terug. In de advertentie is de echte URL van Mozilla, uTorrent of Skype te zien, maar wie op de advertentie klikt wordt doorgestuurd naar aciclistaciempozuelos.es en river-park.net

Deze websites lijken op de echte Mozilla, Skype of uTorrent-pagina's en bieden vervolgens een .exe-bestand aan. In werkelijkheid gaat het om een rootkit, die vervolgens Internet Explorer in de achtergrond start en clickfraude probeert uit te voeren. Ook zouden Google zoekopdrachten worden doorgestuurd.

De aangeboden malware is afkomstig van het domein en-softonic.net. Naast Firefox, Skype en uTorrent biedt het domein ook valse versies van Adobe Flash Player, Adobe Reader, Chrome en Yahoo Messenger aan. De rootkit zou door 16 van de 44 virusscanners worden herkend.