Bir önceki truva atı gibi kendisini bir eklenti paketi (Plugin) içine saklayan truva atı, kendini popüler Greasemonkey eklentisiymiş gibi göstererek tarayıcıya yerleşiyor. Firefox her çalıştırıldığında aktifleşen truva atı, kullanıcının tüm şifre hareketlerini izleyerek kaydediyor.
100’den fazla çevrimiçi banka servisi üzerinde kullanılan şifreleri kaydeden truva atına karşı kullanıcıların oldukça dikkatli olması gerekiyor. Doğrudan Firefox kullanıcılarını hedef alan ilk ciddi risk olan truva atı, JavaScript betiklerinin (kod) yer aldığı “chrome” tabanı üzerinde çalışarak o an gezilen İnternet sitesinin banka olup olmadığını analiz ediyor, banka olarak tanımladığı sitelerde girilen kullanıcı adı ve şifreleri topluyor.
Kullanıcılar, virüsten etkilenip etkilenmediklerini öğrenebilmek için bilgisayarlarında Mozilla Firefox’un kurulu olduğu dizin içinde bulunan (bu dizin genellikle “C:\Program Files\Mozilla Firefox\” dur) “Chrome\chrome\content\browser.js” ve “plugins\npbasic.dll” dosyalarını kontrol etmeleri gerekiyor. Bu dosyalar bulunuyorsa, tarayıcıların kapatılıp belirtilen dosyaların silinmesiyle tehditten kurtulmak mümkün ancak, virüs silinmeden önce girilmiş olan bütün servislerdeki şifrelerin, kötü niyetli olarak açılmış veritabanlarına işlendiğinden, değiştirilmesi gerekiyor.
