Die Malware nutzt eine Lücke in der VML-Darstellung des Internet Explorer. Die Experten von Sunbelt konnten experimentell nachweisen, dass selbst ein mit den neuesten Patches ausgestattetes System durch diese Lücke infiziert werden kann.
Wie meist bei solchen Lücken nutzt auch diese Malware einen Pufferüberlauf, um den Schadcode zu injizieren. Schützen kann sich der Surfer derzeit nur, indem er Javascript im Internet Explorer abschaltet, solchen Seiten generell fernbleibt oder einen Alternativbrowser verwendet.
Wann ein offizieller Patch von Microsoft erscheint, der dieses Problem bereinigt, ist noch nicht bekannt.