Der Inhalt der ersten Nachricht tarnt sich als Online-Auftragsbestätigung. Darin bedankt sich ein vorgeblicher Mitarbeiter eines Online-Shops für die Bestellung und führt die angeblichen Lieferkonditionen auf. Details zur Bestellung seien dem Anhang zu entnehmen.
Die zweite E-Mail stammt vorgeblich von einem Bankmitarbeiter, dem eine fragwürdige Kreditkartenzahlung aufgefallen sei. Auch hier werden im Anhang weitere Details versprochen.
Beide Trojaner gehen nach der gleichen Methode vor: Öffnet der User den schädlichen Inhalt, laden sie einen weiteren Trojaner, "Spyforms.A". Dieser sucht nach IP Adressen und Zugangscodes für diverse Internet-Dienste. Die Daten kann der Urheber des Trojaners nutzen, um online die Identität seines Opfers anzunehmen, und beispielsweise betrügerische Geschäfte einzuspielen, ohne um seine Entdeckung fürchten zu müssen.