Sprawcy próbują ukryć złośliwy kod stosując zapis w kodzie szesnastkowym. Przeglądarka bez problemu może przetwarzać kod szesnastkowy, ale dla ludzi i wyszukiwarek nie jest on zrozumiały. W ten sposób złośliwe programy mogą obejść filtry zabezpieczające wyszukiwarki Google. Złośliwy kod zaszyfrowany w ten sposób umieszczany jest wewnątrz strony internetowej, do której prowadzi wynik wyszukiwania. Taka technika nazywa się Cross-Site-Scripting. Jeśli użytkownik Google kliknie wynik wyszukiwania, otworzy się wyszukiwana strona, ale będzie wzbogacona o fragment skryptu pochodzący z jednej z indyjskich domen internetowych. Zmanipulowane linki rozpowszechniane są przez autorów złośliwych skryptów na blogach, forach, portalach społecznościowych i stronach z krakami. Dzięki temu strony są indeksowane przez wyszukiwarki i są pojawiają się często w wynikach wyszukiwać. Prowadzi to do absurdalnych sytuacji – przykładem może być mało popularna strona internetowa amerykańskiego uniwersytetu, która nagle zaczęła pojawiać się w wynikach wyszukiwania na pierwszych miejscach.
Skrypt pobierany z indyjskich stron internetowych jest również w dużym stopniu zaszyfrowany. Sfałszowane strony nie są tworzone statycznie, zależnie od różnych czynników mogą wyglądać inaczej i zawierać różne treści. Podczas testów, eksperci G Data Security Labs najczęściej natykali się na strony oferujące fałszywe kodeki, a także fałszywe programy antywirusowe. Wszystkie stosowane triki sprowadzają się jednak do pobrania i uruchomienia złośliwego pliku.
