O arquivo anexo é apresentado com nome ConviteFormatura.pps, que tem apenas 52 KB. Se o destinatário tenta abrir o anexo, o malware se instala e provoca problema no funcionamento do Windows, como a dificuldade para abrir pastas no gerenciador de arquivos.
O cavalo de troia cria arquivos que apresentam uma mensagem dizendo ao usuário que existe uma solução para o problema que ele está enfrentando. Ao clicar na promessa de solução, o usuário é levado a um site, Byte Clark, que oferece um antivírus com esse mesmo nome. O site aconselha a compra e instalação do antivírus para normalizar o sistema.
Conforme a Trend Micro, o falso antivírus instala o cavalo de troia Troj_FAKEAV.BBH., que executa uma falsa varredura no micro e remove apenas os arquivos criados no ataque inicial. Além disso, o falso utilitário é capaz de roubar informações pessoais como senhas e nomes de login armazenados na máquina.
