Sophos ve F-Secure tarafından farkedilen zararlı, Windows saldırganlarının yoğun olarak başvurduğu bir tekniği kullanıyor.
F-Secure, zararlının .pdf.exe uzantısına sahip olduğunu (yani aslında bir uygulama olduğunu) ve PDF simgesiyle kullanıcıyı kandırmaya çalıştığını söylüyor. "Çift uzantı" tekniği ile bir uygulama dosyasının asıl uzantısını gizlemek, bir nevi mümkün olabiliyor. Mac zararlısı, iki aşamalı olarak çalışıyor. Trojan "dropper" öğesi, ikinci öğe olan "backdoor" öğesini yüklüyor. Ardından saldırgan tarafından yönetilen bir sunucuya bağlanıyor.
Zararlı, Mac OS X'deki bir açığı kullanmadığından, kullanıcıları dosyanın masum bir PDF belgesi olduğuna ikna etmeye çalışıyor. Zararlı çalıştırıldığında, ikinci arka kapıyı yükleyerek Çince bir PDF dosyası açıyor. F-Secure, zararlının bu sayede dikkati gerçekleştirdiği diğer etkinliklerden başka yere çekmeye çalıştığını söylüyor.
