Diese Trojanerfamilie nutzt Spoofing-Technik. Die Trojaner selbst sind in gefälschte HTML-Seiten eingebaut. Vermeintlich von Banken, Finanzinstituten, Internet-Shops oder Softwareunternehmen stammende Nachrichten werden an Anwender geschickt. Sie enthalten einen Link zur gefälschten Website, der die "Frame Spoof"-Schwachstelle im Internet Explorer (IE) 5.x und 6.x missbraucht (Microsoft Security Bulletin MS04-004). Besucht ein Anwender eine gefälschte Website und gibt dort Bank- oder andere vertrauliche Daten ein, werden diese an den Angreifer geschickt (Quelle: Kaspersky).