Впервые троянец был обнаружен 25 октября и до 8 ноября, возможно, вообще не был замечен администраторами сайта. В процессе изучения эксплойтов, которыми пользуется троянец, было обнаружено, что для проникновения в систему он применяет несколько уязвимостей, среди которых есть и неизвестные. Некоторые эксплойты обращаются к 18 внешним IP-адресам за своими компонентами. Загруженный вредоносный код плохо детектируется сигнатурными методами, хотя эвристический анализатор ScanSafe все-таки его распознал. Зараженный троянцем компьютер в дальнейшем используется для организации последующих атак.