La descarga de "Joao" envía primero información básica sobre la computadora infectada, como nombre del equipo, versión del sistema operativo e información sobre los privilegios del usuario, hacia el servidor de los atacantes.
Esto es porque el malware mantiene sus operaciones en segundo plano mientras el juego funciona de forma normal, por lo que no hay sospechas acerca del proceso de infección desde el punto de vista del usuario.
Comparado con la descarga de los videojuegos originales, la única diferencia visible es un archivo extra con extensión .dll en la carpeta de instalación del juego.
ESET, según aseguró en un texto publicado en su web oficial, bloqueó el sitio web que sirve a "Joao".