Inhalt und Betreff der E-Mail bleiben leer oder enthalten eine beliebige Spam-Nachricht. Außerdem liegt der E-Mail eine Datei mit dem Namen Health_and_knowledge.zip bei. In dieser Anlage befindet sich der Trojaner, der nur aktiv werden kann, wenn der Anwender die ZIP-Datei öffnet und ihn ausführt.
Der Wurm setzt sich anschließend in der Registry fest und versucht, schädlichen Code von dutzenden verschiedener Websites zu laden und auszuführen.
Im System- oder System32-Verzeichnis legt der Trojaner dazu die Datei hloader_exe.exe an, an deren Vorhandensein er eindeutig zu identifizieren ist.
Trotz der plumpen, aber bewährten Infektionsmethode hat der erst gestern entdeckte Trojaner nach Angaben von H+B EDV bereits eine mittlere Infektionsrate erreicht.