Virusschrijvers zijn niet alleen geinteresseerd in de PC's die ze infecteren, ze willen ook weten waar hun slachtoffers zich bevinden, zo blijkt uit de analyse van een nieuw virus. De malware wordt verspreidt via e-mail en is een .exe bestand vermomd als een JPEG afbeelding, die weer in een ZIP archief zit.

Opent men de malware, dan wordt er een downloader actief die weer een andere downloader downloadt. Deze downloader downloadt allerlei malware, zoals keyloggers en BHOs (Browser Helper Objects). Daarnaast plaatst het ook meerdere versies van hetzelfde Trojaanse paad, alleen met verschillende checksums. Wat de kans moet verhogen dat de malware niet door een virusscanner wordt opgemerkt.

Na de installatie van de malware wordt de firewall in Windows XP SP2 en het complete Security Center uitgeschakeld. Daarna wordt verbinding gemaakt met een webserver die weer andere malware op het systeem plaatst.

Voordat alle gevonden informatie op het geinfecteerde systeem naar virusschrijver wordt gestuurd, maakt de malware verbinding met detectlocation.ru waarop een perl script draait. Het perl script pakt het IP adres van de geinfecteerde machine om de geografische locatie te vinden. De coördinaten die het terugstuurt kunnen zelfs in Google Maps gebruikt worden.

Volgens het Internet Storm Center verzamelt de malware alleen informatie, maar zou die mogelijk ook verband kunnen houden met de recente toename van spam. Het is wel duidelijk dat de virusschrijver door het gebruik van Google Maps creatief te werk is gegaan. Voor gebruikers wiens systeem met dit soort malware is geinfecteerd rest, vanwege de hoeveelheid geinstalleerde malware, alleen het opnieuw installeren van het systeem.