این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل 1stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ایران از شناسایی یک بدافزار ایرانی با نام "مارمولک" خبر داد و اعلام کرد: این بدافزار از طریق ثبت ضربات صفحه كلید، رمز كردن آنها و ارسال آن برای نویسنده، اطلاعات را جمع آوری و سرقت می کند.
حملات هدفمند از چندین مرحله تشكیل میشوند كه به زنجیره قتل APT شناخته میشوند. مهاجمان به عنوان بخشی از فاز مسلح كردن خود، اغلب Payload ی را در یك فایل قرار میدهند كه زمانی كه نصب می شود در فاز دستور و كنترل (C2) به مهاجم متصل میشود.