Der Trojaner verbreitet sich über Sicherheitslücken im Internet Explorer und nutzt dabei Cross-Site-Scripting-Attacken auf diverse Websites, die dadurch unfreiwillig zu Infektionsherden werden.
Im Vergleich zum Vorgänger ist die neue Variante deutlich schwerer aufzuspüren. Der Schädling nutzt einen Pack-Algorithmus, der den Inhalt immer wieder neu verschlüsselt, in der Länge variiert und sogar Teile des Codes löscht, um die Erkennung durch signaturbasierte Virenschutzprogramme zu erschweren.
Ziel des Trojaners sind offenbar hauptsächlich die beim Online-Banking übermittelten Daten sowie Benutzernamen und Kennwörter für diverse Online-Dienste. Die gesammelten Daten werden augenscheinlich an einen in Russland beheimateten Server geschickt.