Họ đã nhận ra vài nghìn những bức thư như vậy chỉ trong một thời gian ngắn , tất cả đều có file .pub đính kèm trong những bức thư này . Những bức thư này mạo nhận là những đơn hàng hoặc hóa đơn từ những chi nhánh khác nhau ở Anh và Trung Quốc .
Khi mở file PUB đính kèm này nó sẽ chạy VBScript tải file tự giải nén CAB vào PC của nạn nhân . File này có chứa script Autolt , một công cụ để chạy script Autolt , và một file được mã hóa theo thuật toán AES-256 . Bitdefender cho biết chuỗi kí tự trong script Autolt là khóa giải mã cho file mã hóa trên .
File mã hóa thực chất là trojan “cửa sau” cho phép tin tặc kết nối tới PC bị lây nhiễm . Trojan này có thể ghi lại những phím bấm , ghi lại những mật khẩu mà người dùng đã gõ khi đăng nhập tới một trang web nào đó …
Bitdefender nhận dạng mã độc này là loại Generic.Malware.SFLl.545292C và file PUB phát tán trojan được nhận dạng là loại W97M.Downloader.EGF.
Điều kì lạ ở đây đó là chiến dịch phát tán mã độc này lại sử dụng file PUB , một ứng dụng Publisher đặc biệt của Microsoft và nó có trong bản Office 365 .