Kunden mehrerer Bankinstitute, darunter auch der Postbank, deren Rechner mit dem Trojanischen Pferd infiziert wurde, gelangen nach der Anmeldung im Online-Banking Portal ihrer Bank auf eine gefälschte Seite, die sich von den echten Webseiten kaum unterscheidet. Die Benutzer erhalten den Hinweis, dass die Bank zum 17.05.2007 das iTAN-Verfahren zur Authentifizierung von Online-Transaktionen einstellt. An die Stelle des iTAN-Verfahrens sollte die "sicherere" Lösung durch DigiPass-Tokens treten. Die Anwender werden aufgefordert, 40 iTANs auf der Seite einzugeben. Da sich das Trojanische Pferd lokal auf dem Rechner befindet und die gefälschte Seite während des Zugriffs auf das Banking-Portal einschleust, bleibt auch die Anzeige einer sicheren SSL-Verbinung bestehen. Um die Ankündigung der vermeintlichen Umstellung noch vertrauenswürdiger erscheinen zu lassen, lädt die Malware ein Bild des Go3-Tokens von Vasco. Der Hersteller Vasco hat mittlerweile das Bild durch eine Datei ersetzt, die eine Warnung für die Betroffenen enthält.
Trend Micro rät allen Computer-Anwendern, beim Online-Banking besondere Vorsicht walten zu lassen. Sowohl die Aufforderung zur mehrmaligen Eingabe von Transaktionsnummern wie auch die gehäufte Anzeige von Fehlermeldungen lassen oft auf ungewollte Aktivitäten im Hintergrund schließen. Um eventuelle finanzielle Schäden zu vermeiden, sollte der Vorgang diesem Fall unbedingt abgebrochen und das Browserfenster geschlossen werden. Trend Micro erkennt das trojanische Pferd als TSPY_AGENT.POA.