Ha a trójai már fel van telepítve a felhasználó gépére, akkor az folyamatosan frissíti a főmodulját, mely a 2001-007.com weboldalhoz kapcsolódik és jelentést készít a felhasználó adatairól: User ID, használt web böngésző, a látogatott webhelyek listája és megnyitott Windows ablakok adatai.
A trójai program fő eleme egy Explorer.exe nevű állomány, amely a Windows \Explorer\ alkönyvtárába kerül (nem összekeverendő az eredeti Explorer.exe-vel ). Ez a komponens folyamatosan frissül a trójai program második része által, amelynek "DlDer.exe" a neve és a Windows könyvtárában található.
A DlDer.exe állomány elindítása után letölti a fent említett Explorer.exe állományt egy weboldalról és beteszi a \Windows\Explorer\ könyvtárba. Ezután létrehoz egy start-up kulcsot a regisztrációs bejegyzések között. Ez a következő rendszerindításkor aktiválja az Explorer.exe állományt, ami létrehoz egy másik registry bejegyzést a DlDer.exe indításához és megpróbál kapcsolódni a már korábban említett 2001-007.com oldalra, hogy a begyűjtött adatokat oda továbbítsa.
A védekezéshez javasolt mindkét trójai komponens törlése. Ha ezeket nem tudnánk törölni, mert zárolva vannak, akkor Windows 9x esetében DOS alól törölhetjük, vagy Windows NT/2000/XP esetén átnevezhetjük őket és az újraindítás után már törölhetőek lesznek.
Az F-Secure és Kaspersky Anti-Virus programok a 2002. január 3-i adatállományokkal már felismerik a fertőzést.