Según Kaspersky el autor del troyano utiliza esta dirección de correo electrónico de otro fabricante de antivirus para confundir al receptor del mensaje y disipar las dudas que pudiera provocar.

El archivo ocupa poco más de 80.000 bytes y contiene un informe sobre la propagación de programas maliciosos en Internet. El documento contiene una macro escrita en Visual Basic for Applications Lafool y extrae de su interior una modificación de LdPinch, un programa que roba contraseñas de diversos servicios y aplicaciones, incluyendo AOL Instant Messenger e ICQ, así como otros datos confidenciales.

La actividad del troyano se bloquea si el usuario cancela las acciones de ejecutar un macro sospechoso, inicia el navegador de Internet con parámetros adicionales o enviar los datos recopilados por medio del navegador sin que el usuario se dé cuenta.