O código malicioso usa uma falha do script do Internet Explorer para se instalar e modificar um site. Depois de invadido, a praga controla remotamente todos os movimentos do usuário, mesmo que ele feche a página modificada. A praga observa e memoriza os browsers visitados e o que o usuário digitar no teclado.

Na prática, isso quer dizer que se um usuário navegar por uma página modificada pelo código malicioso, for infectado, fechar a página e usar o internet banking na sequência, sua senha poderá ser vista e memorizada pela praga.

A porta de entrada para o código é o active scripting da Microsoft, encontrado no Internet Explorer 6 e nas demais versões. O ataque é feito de forma remota e de um diferente domínio depois da violação ao scripting.

A descoberta foi do analista de segurança independente, Eduardo Cavalero, que participou no mês passado do evento de segurança da própria Microsoft, onde apresentou seu relato. Participaram do mesmo evento (Microsoft BlueHat Security Briefings: Spring 2008 Sessions and Interviews) outros experts, mas a descoberta de Cavalero foi endossada pelo órgão americano, que decidou publicar o alerta.

O Active Scripting é uma tecnologia usada no Windows para implementar o suporte modular de linguagens de scripting.