Zunächst erscheint die Masche trivial: Auf der verlinkten Website wird der Nutzer darauf aufmerksam gemacht, seine Flash-Version benötige eine Aktualisierung.
Prüft der Anwender das dazu verwendete ActiveX-Script, stellt er fest, dass es mit einem digitalen Zertifikat signiert ist - gemeinhin ein Beleg für die Vertrauenswürdigkeit eines Scripts.
Nichtdestoweniger installiert dieses Script, wenn man es lässt, eine Variante des small.lu-Trojaners, der Daten vom System des Opfers stiehlt. Außerdem bedenklich ist die Erkennungsrate. Wie es bei Sunbelt heißt, erkennen bislang nur 4 von 32 Virenscannern den Schädling.
