In urma colaborarii intre specialistii Websense si echipa de securitate Skype a fost identificat comportamentul acestui troian care foloseste Skype API (application programming interface) pentru a se raspandi.


S-a stabilit ca utilizatorii care folosesc Skype primesc o notificare privind solicitarea de acces din partea unui program si pot sa permita sau sa restrictioneze operatia respectiva. Daca aplicatia este executata, aceasta instaleaza un troian de interceptare a parolelor de acces. De asemenea sunt rulate secvente de cod in vederea propagarii fisierului sp.exe pe alte statii si a actualizarii acestuia, prin contactarea unui server de pe Internet.

Infectia pare sa provina din Coreea dar site-ul de pe care aplicatia era descarcata initial nu mai poate fi accesat. Numarul de utilizatori contaminati in prezent este necunoscut.