Robak, który został ochrzczony jako GetCodec.a, zamienia pliki mp3 na format Windows Media Audio (WMA) bez zmiany rozszerzenia .mp3. Następnie dodaje on do zmienionych plików znacznik z odsyłaczem do zainfekowanej strony internetowej. Znacznik ten jest aktywowany automatycznie podczas odtwarzania pliku.

Szkodnik otwiera zainfekowaną stronę w przeglądarce Internet Explorer, na której użytkownik jest proszony o pobranie i zainstalowanie kodeka. Jeżeli użytkownik zgodzi się na zainstalowanie pliku, trojan znany jako Agent.arp zostanie pobrany na komputer, dając cyberprzestępcom kontrolę nad zaatakowaną maszyną.

W przeciwieństwie do wcześniejszych trojanów, które wykorzystywały format WMA wyłącznie do maskowania swojej obecności w systemie, robak ten infekuje rzeczywiste pliki audio.

Według analityków Kaspersky Lab firmy jest to pierwszy przypadek trojana rzeczywiście infekujacego pliki audio. Jak dotąd szkodniki te wykorzystywały format WMA wyłącznie do maskowania swojej obecności w systemie. Prawdopodobieństwo skutecznego ataku jest w tym przypadku większe, ponieważ większość użytkowników ma całkowite zaufanie do plików audio i nie łączy ich z potencjalnymi infekcjami.