По заявлению Secure Computing, заражение происходит, как обычно в таких
случаях, при посещении варезных сайтов, где при скачивании программы, которая
выдает себя за генератор ключей, пользователь получает троян, заражающий
мультимедийные файлы и конвертирующий их незаметно для пользователя в другие
форматы.
Хотя зараженные аудио и видео файлы не определяются как зловредные программы,
они становятся опасными при обмене с другими пользователями.
Если эти файлы попадают на другой компьютер, например через файлообменную
сеть, при попытке воспроизведения появляется окно заявляющее о невозможности
воспроизведения файла и необходимости скачивания кодека. Этот «кодек» и является
на самом деле зловредной программой.
Фактически троян использует стандартную функцию для заражения, позволяющую
использовать встроенные скриптовые команды в Advanced Systems Format (ASF) и
Windows Media Audio (WMA) файлах.
Также программа конвертирует MP2 и MP3 файлы в WMA формат и инфицирует их
тоже. Если пользователь попытается проиграть любой зараженный файл со своего
диска, он не заметит никаких изменений.
