El ataque se aprovecha a la vez de varias vulnerabilidades en el Explorer, incluyendo al menos un error conocido pero no corregido, además de algunos nuevos. Logra confundir al navegador para que ejecute código desde un servidor web remoto como si fuera un fichero local de ayuda, por lo que puede instalar cualquier troyano escogido por el atacante en el ordenador.
El ataque se lanza cuando un usuario pulsa en un enlace que ejecuta
ese código en un email o página web. Internet Explorer lanza entonces
una ventana emergente con una etiqueta IFRAME, que se usa comúnmente
para mostrar texto o multimedia en ese tipo de ventanas. El código
engaña al navegador para que piense que dicho IFRAME contiene un
archivo de ayuda en el disco duro del usuario, mientras se baja un
fichero en Javascript que puede ejecutar con los privilegios de hacerlo
en el equipo local. Ese Javascript ejecuta entonces un fichero PHP
remoto, cuya utilidad es bajarse un troyano al disco duro del usuario.