Die gefälschten Nachrichten mit der Betreffzeile "Parcel requires declaration" versuchen, ihre Empfänger dazu zu bringen, ein angebliches Zollformular im Anhang auszufüllen. Mit dem Attachment namens "Bill-Tax.zip" öffnet der Nutzer allerdings nicht das Formular, sondern ermöglicht es einem Trojaner, sich im Opfer-PC einzunisten.
Einmal aktiv legt der von Avira als "Tr/Spy.ZBot.dkx" identifizierte Schädling im Windows-Verzeichnis eine Kopie seiner selbst namens "ntos.exe" ab. Nach dem Systemstart versteckt er sich mittels Rootkit-Funktionen, indem er in die Windows-Systemdatei "winlogon.exe" Code injiziert. Außerdem verbindet sich der Trojaner mit einem Server im Internet, lauscht auf eingehende Pakete, spioniert den Anwender aus und lädt schließlich weitere Komponenten aus der ZBot-Familie nach. (kf)