Der Schadcode verbreitet sich unter Benutzung einer bisher nicht bekannten Sicherheitslücke in Windows über USB-Sticks. Ein AV-Hersteller stellte fest, dass der Trojaner in der Lage ist, ein auf den aktuellen Stand gepatchtes Windows 7 ohne Benutzung von Autostart-Funktionen wie autorun.inf zu infizieren.
Der Schadcode nutzt dabei einen Fehler bei der Verwaltung von .lnk-Dateien (Verknüpfungen). Wenn das Icon einer solchen Verknüpfung zum Beispiel im Windows Explorer angezeigt wird, startet ohne weitere Benutzerinteraktion das Schadprogramm.
Interessant sind die Ziele des Trojaners – er fragt zum Beispiel nach Datenbanken des Siemens-SCADA-Systems WinCC. Es geht hier offensichtlich um Industriespionage, vielleicht sogar um Spionage im Umfeld der Regierung.
Zurzeit gibt es noch keinen Patch von Mikrosoft, der diese Sicherheitslücke schließen kann.
