Avtorji trojanskega konja z uporabo ukradenih uporabniških imen in gesel za Facebook pošiljajo sporočila drugim uporabnikom. Besedila so
naprimer:
>>Ha,ha,ha is this you?! Check the video<<
>>I saw this video on google and i saw you ha,ha,ha!<<
>>Paris Hilton new Porn video!!!<<
temu pa sledi spletni naslov, ki se konča z besedo >>watch.htm<< ali >>WHAT.pif<<.
Okuženi računalnik je treba pregledati s posodobljenim protivirusnim programom. Uporabniki morajo po odstranitvi trojanskega konja spremeniti gesla, ki jih uporabljajo za dostop do spletnih storitev (Facebook, Gmail, ...).
Če uporabniki to povezavo odprejo, se jim prikaže okno za prenos datoteke. Ta datoteka pa vsebuje trojanskega konja, ki takoj po namestitvi vzpostavi povezavo z IRC strežnikom, ki omogoča upravljanje računalnika na daljavo.
Trojanski konj tudi izvozi vsa uporabniška imena in gesla za dostop do spletnih strani, ki jih imajo uporabniki shranjene v spletnih brskalnikih Internet Explorer in Firefox.
Registrirana na Hrvaškem
Spletna domena, ki jo trojanski konj razpošilja, je bila registrirana z lažnimi podatki. Registriral naj bi jo "Lilly bili" iz Zagreba.