List wysłany w formacie HTML informuje o rzekomo wykrytej nowej luce w Microsoft WinLogon Service, która umożliwia cyberprzestępcy dostęp do niezałatanego systemu.

W dalszej części e-maila nadawca podaje adresatowi odnośnik do pliku zabezpieczającego dziurę. W rzeczywistości podawany jest link do trojana, którego jeszcze nie wszystkie programy antywirusowe potrafią zidentyfikować.

Według SANS, na razie prawidłowo rozpoznają szkodnika następujące programy: AntiVir, BitDefender, Kaspersky, NOD32v2, Panda, Sophos i Symantec.