安全公司趋势科技分析了导致韩国多家公司和机构计算机网络同时瘫痪的网络攻击，认为攻击者是利用钓鱼邮件发动了这次攻击。

3月19日，安全研究员注意到了攻击的最早信号。目标机构收到了伪装成银行邮件的钓鱼邮件，邮件包含了一个文档附件，它实际上是一个下载器，会从不同地址下载9个文件，包括设计破坏硬盘的木马Trojan.Jokra，bash脚本，PuTTY SSH和SCP客户端。

当木马于3月20日下午2点激活时，它先终止安全软件的进程，然后搜索 mRemote和SecureCRT(远程连接管理器和客户端)储存的远程连接，使用储存的Root证书登录远程 Linux和Solaris服务器，覆写硬盘主引导记录。

如果不能覆写则利用root权限删除文件夹 /kernel/、/usr/、/etc/和/home/。当覆写任务完成后，它就重启机器，主引导记录破坏将会导致机器无法启动。攻击导致Windows、Linux和 Unix系统无法启动，造成严重破坏。

如果Web服务器受到影响，那么银行的Web应用会因此而下线。