De worm wordt binnengehaald door op een url te klikken die via de contactlijsten wordt verspreid, zo meldt Websense. Er zouden meerdere 'besmette' url's in omloop zijn. De link komt binnen als bericht en gaat vergezeld van een korte Engelse tekst.

Gebruikers die op de link klikken, installeren een worm genaamd Sdbot-add, die op zijn beurt de lockx.exe-toolkit probeert binnen te halen.

Rootkits zijn een verzameling programma's waarmee bestanden, directories, registersleutels en software ongezien kunnen worden geïnstalleerd. Hackers gebruiken dergelijke software om toegang te krijgen tot het systeem en vervolgens gebruikersnamen en wachtwoorden te achterhalen.

Tevens probeert de worm eventueel aanwezige antivirussoftware uit te schakelen en een achterdeur te installeren om mogelijk nog meer schadelijke software te downloaden.

Alsof dit alles nog niet genoeg is, wordt tevens de startpagina overschreven en spy- en software binnengehaald van 180Solutions, Zango, de Freepod Toolbar, MaxSearch, Media Gateway en SearchMiracle, aldus beveiligingsbedrijf FaceTime Communications.