Zunächst beobachtet der Trojaner das Surfverhalten des Anwenders und leitet die besuchten Urls an einen vom Malware-Autor kontrollierten Server weiter.
Entdeckt der Server https-Traffic (also verschlüsselten Datenverkehr), weist er den Trojaner an, einen weiteren Schädling zu laden, der diesen https-Traffic überwacht.
Mit Hilfe des zweiten Trojaners kann ermittelt werden, bei welcher Bank das Opfer sein Konto führt. Ist das geschehen, weist der Server den Trojaner zu einem dritten Download an: Einem Spionageprogramm, das exakt auf die spezielle Bank zugeschnitten ist.
Diese Malware-Kombination ist enorm effektiv und durch ihren individuellen Zuschnitt zudem von Virenschutz-Programmen nur sehr schwer zu durchschauen. Roel sieht eine enorme Herausforderung im Kampf gegen derartige Bedrohungen.