Ponieważ użytkownicy niechętnie pobierają cokolwiek od nieznajomych, twórcy wirusa zastosowali socjotechnikę znaną ze stacji roboczych - wirus wysyła wiadomość SMS do wszystkich znajomych z książki adresowej. Jest to zwykły SMS, który nie zawiera samego wirusa, ale zachęca do pobrania go. Podążając za linkiem, przeglądarka w telefonie użytkownika trafia na stronę, skąd pobierany jest plik instalacyjny SIS. Infekuje on telefony wyposażone w system Symbian 60 3rd Edition, takich producentów jak Nokia, LG, Samsung, w tym najpopularniejsze modele Nokia N95 czy Nokia E71.

Standardowo system Symbian sprawdza podpis pliku, informując użytkownika przy instalacji niepodpisanego programu. Tym razem cyberprzestępcom udało się oszukać cały system podpisu aplikacji, dzięki wykorzystaniu procedury Express Signing. Ponieważ mechanizm podpisu w tym modelu wykorzystuje jedynie algorytmiczne analizy pakietu i program nie jest badany przez ludzi, złośliwy kod mógł być napisany w taki sposób, by pomyślnie przejść etap walidacji. Symbian już unieważnił certyfikaty przyznane temu wirusowi, ale na świecie jest wiele telefonów, które nie pobierają informacji o odwołanych certyfikatach. Warto przestawić odpowiednio telefon, by aktualizował informacje o odwołanych certyfikatach, instrukcja jest dostępna na blogu laboratorium F-Securehttp://www.f-secure.com/weblog/archives/00001732.html

Wskazówką o infekcji tym wirusem jest bardzo duża ilość wiadomości SMS wysyłanych przez telefon. Niestety można to sprawdzić jedynie na rachunku operatora lub obserwując aktywność modułu radiowego telefonu niezwłocznie po instalacji.

Dodatkowo wirus wysyła do autora informacje o telefonie i właścicielu, włącznie z numerem IMEI. Na razie nieznane są motywy kolekcjonowania tych danych. Wiadomo już, że kod powstał w Chinach.