Een nieuw Trojaans paard infecteert computers pas nadat het voldoende muisklikken heeft gedetecteerd, om zo analyse door anti-virusbedrijven te voorkomen. In het verleden was er malware ontdekt die pas na een linkermuisklik actief werd. Veel virtuele omgevingen die anti-virusbedrijven voor de analyse van malware gebruiken hebben geen muis.

Door op een muisklik te controleren wordt de malware in dit soort omgevingen niet actief. De vereiste ene muisklik is eenvoudig door virusonderzoekers te overkomen, daarom hebben de malwaremakers een verbeterde variant uitgebracht. Deze versie wordt pas na meerdere muisklikken actief.

Gerichte aanval
De malware in kwestie zat verstopt in een kwaadaardig document genaamd “Islamic Jihad.doc”. Beveiligingsbedrijf FireEye vermoedt dat dit document bij gerichte aanvallen tegen overheidsinstanties in het Midden-Oosten en Centraal Azië is ingezet. Naast de detectie van muisklikken gebruikt de malware meerdere technieken om detectie te voorkomen.

Eenmaal actief maakt het verbinding met een legitieme URL. Vaak maakt malware meteen verbinding met de Command & Control-server waarmee de aanvallers de malware kunnen aansturen. In dit geval gaat de 'callback' naar een legitieme URL-verkorter, die de communicatie naar de C&C-server doorstuurt.

Een andere anti-forensische eigenschap is dat de malware niet meteen actief wordt, maar een werkende internetverbinding vereist. Wordt aan alle eigenschappen voldaan, dan installeert de malware zich op het systeem en opent een backdoor. Tevens wordt er informatie over de computer naar de aanvallers gestuurd.