A trójai vírus fájl egy képfájlnak álcázza magát (img1big.gif), holott valójában futtatható alkalmazás, amely egy ártó szándékú kiegészítőt helyez a Microsoft böngésző szoftverére. A BHO (browser helper object) elnevezésű kiegészítő ezután figyeli és rögzíti a több tucat pénzintézet webhelye felé kimenő adatokat, derül ki a SANS Intézet Internet Storm Centerének webhelyén közzétett elemzésből. A célba vett webhelyek között vannak többek között azok, melyeket a Citibank, a Kanadai Birodalmi Kereskedelmi Bank (CIBC) és a Deutsche Bank tart fenn.
Az Internet Storm Center egy BHODemon nevű eszköz használatát javasolja, amely listát készít a rendszerre telepített BHO-król, és lehetővé teszi az ártó szándékúak lebénítását.
Au ingyenes program a www.definitivesolutions.com címen található.
