De trojan, die door McAfee 'Formspy' wordt genoemd, wordt binnengehaald op computers die reeds met 'Downloader-AXM' zijn geïnfecteerd – een ander Trojaans paard dat onlangs in spamruns werd verspreid.

Downloader-AXM maakt contact met servers om onopgemerkt kwaadaardige software binnen te halen. Als Formspy eenmaal binnen is, installeert deze zichzelf als 'Numberedlinks 0.9'-extensie. Deze Firefox-extensie wordt normaliter gebruikt om de cijfers op het toetsenbord te koppelen aan verschillende sites.

Formspy speelt ingevoerde gegevens – zoals wachtwoorden en banknummers – door naar andere sites, aldus McAfee. De trojan steelt eveneens wachtwoorden voor e-mail, ftp-transacties en messaging-programma's.

Een uitgebreide 'advisory' staat sinds dinsdag online op de site van McAfee.