Der Trojaner versucht, sicherheitsrelevante Prozesse zu beenden und überwacht die Aktivität des Internetbrowsers. Sobald ein Seitentitel aufgerufen wird, der Zeichenfolgen wie "vr-networld-ebanking" oder ähnliche Texte enthält, die auf eine Online-Banking-Anwendung deuten, zeichnet er alle folgenden Benutzereingaben auf und leitet die gesammelten Daten an eine Internet-Adresse weiter.
Der Trojaner wird über Spam-E-Mails und Websites mit speziell präparierten WMF-Bildern verbreitet. Für die kürzlich bekannt gewordene Sicherheitslücke hat Microsoft einen Patch angekündigt, der am kommenden Dienstag verfügbar sein soll. Von der Verwendung alternativer Patches von Drittanbietern rät Microsoft ausdrücklich ab.
