La vulnerabilidad engaña al Internet Explorer sobre las direcciones donde almacena las imágenes en mapas de bits. Con un archivo bitmap (BMP) especialmente modificado, se puede causar un desbordamiento de búfer y como ahora lo demuestra este troyano, se puede hasta ejecutar código en forma arbitraria en el sistema vulnerable. El error se produce solamente en Windows 2000. El troyano Agent, fue enviado utilizando tecnología spammer en un correo electrónico infectado que solamente contiene un BMP con un nombre aleatorio. El archivo probablemente fue creado en Rusia o en la unión de los estados independientes (CIS), en la antigua Unión Soviética, ya que solo funciona con la versión rusa de Windows 2000. No lo hace en otros idiomas ni en otras versiones de Windows (9x, Me, XP, 2003). Sin embargo, puede provocar que el programa de correo electrónico se cierre al intentar visualizar la imagen.
Cuando un usuario abre el archivo BMP, el troyano se conecta de inmediato a un servidor remoto localizado en Libia, y descarga y ejecuta un segundo troyano llamado "Throd".
"Throd" es un típico parásito del tipo spyware, que se copia en el registro de del sistema de Windows y luego queda a la espera de las instrucciones de un usuario remoto. Estas instrucciones implican la ejecución remota de varios comandos y programas, la copia de datos, y la recolección de direcciones de la libreta de direcciones del Outlook. También puede convertir al equipo infectado en un servidor proxy, de modo de usarlo como plataforma para lanzar toda clase de ataques.
"Throd obviamente está escrito por spammers," comenta Eugene Kaspersky, Director de Investigación Anti-Virus de Kaspersky Labs, "el Troyano recolecta direcciones de correo electrónico y crea una red de máquinas zombis para ataques masivos de spammer. Una vez más, vemos una confirmación de que los spammers y escritores de virus están trabajando en común acuerdo."
No existe parche para la vulnerabilidad mencionada. "Esta vulnerabilidad en particular, ha sido identificada y reparada en el IE 6.0 SP1, en agosto de 2002. Microsoft continúa recomendando a sus clientes que mantengan al día su software con los últimos parches y actualizaciones. Los usuarios de Windows XP SP1 o Windows Server 2003 que han instalado todas las últimas actualizaciones, no son impactados", dijo un vocero de Microsoft cuando el exploit fue hecho público. Las recomendaciones son mantener actualizado su software antivirus, ya que cómo afirma el propio Kaspersky, "es muy probable que muy pronto aparezca malware atacando otras versiones de Windows".