被感染的 USB 设备中包含一个.lnk 文件,只要用户点击这个文件,“树莓知更鸟”就会自动创建一个 msiexec.exe 进程,并启动另一个恶意文件。然后,它将会通过一个短 URL 与命令和控制服务器通信。如果成功连接到服务器,它会下载并安装一堆其他恶意 .dll,然后这些 .dll 会试图与 TOR 节点进行连接。 这个恶意软件被称为“树莓知更鸟”(Raspberry Robin),它主要是通过被感染的 USB 设备进行传播。
