De Trojan, genaamd W32.Agent.ull, is ontdekt door onderzoekers van beveiligingsbedrijf Norman. Zodra een computer is geïnfecteerd, wordt er een video met kinderporno op de besmette pc geïnstalleerd en wordt deze afgespeeld.

Volgens Norman bevat de Trojan geen technologie om zichzelf te verspreiden, maar wordt deze verspreid via uitwisselnetwerken en mogelijk zelfs per mail.

De Trojan wordt verspreid als videobestand met de naam 'childporn******.mpeg.exe'. Volgens Norman is deze naam bewust gekozen om zo te kunnen dienen als lokaas.

"De primaire functie van de Trojan is niet het tonen van de kinderporno, dat is slechts het lokkertje om het op te starten", zegt Righard Zwienenberg, onderzoeksdirecteur bij Norman.

"Terwijl de kijker wordt afgeleid, worden verschillende andere applicaties gedownload en geïnstalleerd. Al deze applicaties bij elkaar vormen een verzameling schadelijke ad- en spyware."

De Trojan, die sinds afgelopen weekeinde op grotere schaal circuleert, installeert onder meer bekende nep-antispywarepakketten als SpySherrif en BraveSentry. Ook worden diverse downloaders aan het werk gezet, waaronder Tibs, een bekende adwaredownloader voor pornowebsites.