* 1,5 kb civarı bir js kodu çalıştırıyor.
* Yayılmak için ayrı bir dosyasından js kodunu çekeceği adresi kullanıyor.
* Reklam amaçlı türlere benzese de sızıntı olan müşterimin sitesinde reklam birimi bulunmuyor.
* Ana dizine farklı isimde bir html dosyası ile bir jpeg dosyası atıyor.
* Tüm index.html, index.htm, index.php, index2.php, default.php, maintenance.php gibi dosyalar ile aynı zamanda bütün js uzantılı dosyalara bulaşıyor. Burada dikkat ! Tüm .js şeklindeki dosyalara bulaşıyor, ismi ne olursa olsun. Ayrıca bazı kendini eklediği diğer dosyaları da bozabiliyor.
* Bulaştığı .js uzantılı dosyalarda 1,5 kb civarındaki kodunu eklediği yerden itibarenki dosyanın kalankodunu da siliyor !
* Ftp üzerindeki tüm dizinlerinize sırayla bulaşıyor, Joomla ile sınırlı değil. 10 GB'lık bir dizine bulaşması yaklaşık 2 saat sürmüş.
* Ön yüzde trojan olarak kendini gösteriyor, farklı adreslerden iframe ile 8080 portunu açarak hit alıyor.

bu kısım alıntıdır