Wiadomość dotyczy zablokowania konta w serwisie “z powodu nieuregulowanych oplat allegro”, albo z powodu “umieszczania w opisie Twojej aukcji tresci niezgodnych z regulaminem Allegro”. Mail zawiera prawdziwe dane adresowe konkretnego użytkownika. Opatrzony jest logiem serwisu aukcyjnego.
 
W załączniku znajduje się plik MS Word ze złośliwym kodem oraz prośba do użytkownika o włączenie obsługi makr, ponieważ inaczej dokument może nie zostać poprawnie wyświetlony.

Według CERT pobrany plik MSUPDATE32.exe (bądź MSUPDATE64.exe) to bot Andromeda. Celem jest wydobycie haseł ofiary z różnych aplikacji. Pozwala wykraść hasła zapisane m.in. w takich programach jak jDownloader (hasła do kont premium na stronach służących do dzielenia się plikami, np. rapidshare), Trillian (komunikator internetowy), książka telefoniczna Remote Access Connection (dane do usług typu Dial-Up Networking), FileZilla (dane do logowania do serwerów FTP), Yahoo! Messenger.

Według CERT wiele wskazuje na to, że autorem ataków jest ta sama osoba, która stworzyła wykryte wcześniej złośliwe oprogramowanie VBKlip w wersji .NET. Zainfekowano co najmniej 700 adresów IP. Dane dostępowe do ponad 3,5 tys. serwisów internetowych (w tym serwisów bankowości elektronicznej) i serwerów FTP zostały wykradzione. Ofiarami byli głównie internauci z Polski.