Kompanijos „Websense“ aptiktas ir dar neįvardintas trojan’as į kompiuterį patenka, kaip „Internet Explorer“ naršyklės pagalbininkas (BHO). Trojanas stebi lankomus tinklapius ir jei vartotojas aplanko vieną iš internetinės bankininkystės sistemų, kuri yra įtraukta į trojan’o sąrašą, pradeda įrašinėti klaviatūra renkamus duomenis. Vėliau šie konfidencialūs duomenys yra šifruojami paprastu XOR algoritmu ir persiunčiami į įsilaužėlių serverį paprastais ICMP pranešimais. Daugelis tinklo administratorių neblokuoja ICMP srauto, nes jį naudoja tokie įrankiai kaip „ping“ ir „traceroute“, todėl toks duomenų vagimas dažnai nėra pastebimas. Dažniausiai kenksmingos programinės įrangos gamintojai duomenų perdavimui naudoja elektroninio pašto laiškus ar http protokolą.
Trojanas vagia duomenis naudodamas ICMP protokolą
