Die technische Analyse des Trojaners ist offenbar noch nicht abgeschlossen. Inzwischen scheint jedoch das folgende Verhalten festzustehen:
Der Trojaner legt eine Datei namens .exe im Systemverzeichnis ab und führt sie aus. Diese Datei legt wiederum die beiden Dateien clipbook.exe und clipbook.dll auf dem befallenen Computer ab, die einen Backdoor-Trojaner enthalten. Anschließend löscht sich die ursprüngliche Datei selbt.
Da die Infektion über Word-Dokumente stattfindet, wird insbesondere Anwendern von Word 2000 dringend geraten, via Internet (Web, E-Mail, Instant Messenger oder ähnliches) erhaltene Word-Dokumente mit größter Vorsicht zu behandeln.