Lädt der Nutzer die Datei VideoPhone[1].exe auf seinen Rechner, erscheint bei deren Ausführung eine Website, auf der das neue iPhone zum Kauf angeboten wird. Währenddessen verändert der Trojaner im Hintergrund die Hosts-Datei.
Ruft der Nutzer später einen Online-Banking-Dienst auf, besteht die Gefahr, dass seine Anfrage dank der manipulierten Hosts-Datei auf einen Server umgelenkt wird, der unter der Kontrolle von Kriminellen steht. Die dort zu findende Website ist in der Regel aber der Original-Website der betreffenden Bank zum Verwechseln ähnlich.
Der Trojaner richtet sonst keinen Schaden auf dem infizierten System an. Nutzer, die nicht sicher sind, ob auch sie betroffen sind, sollten die hosts-Datei überprüfen, die unter Windows allgemeinen im Ordner /Windows/System32/Drivers/etc/ zu finden ist. Die Datei kann mit jedem Texteditor geöffnet werden. Sie enthält eine Liste von Web-Adressen und den zugehörigen IPs. Zweifelhafte Einträge können einfach gelöscht werden.
Enthält die hosts-Datei mehr als nur einige wenige Einträge, ist fast immer von einem Befall durch Schadsoftware auszugehen. Allerdings machen auch einige Webfilter-Programme davon Gebrauch, um beispielsweise Anfragen nach Porno-Seiten ins Leere laufen zu lassen.
