Die Spam-Mails verbreiten sich über die zwei Betreffzeilen "Order Confirmation Number: WC9921564" und "[paycheck 322082] Credit Card Chargeback" und sind jeweils in englischer Sprache geschrieben.

Der erste Trojaner Downloader.KBR gibt sich dabei als Bestellbestätigung aus und infiziert den Rechner sobald die vermeintliche Bestätigung im Dateianhang geöffnet wird. Beim zweiten Trojaner handelt es sich um Downloader.KCC und tarnt sich als Kreditkartenzahlung.

"Das scheint uns eine sehr effektive Form der Social Engineering Methode zu sein. Statt mit tollen Gewinnen oder hübschen Frauen zu locken, versuchen die Betrüger die Empfänger der Mails zu erschrecken und sich ihre Angst vor finanziellen Verlusten zu Nutze zu machen", erklärte Luis Corrons welcher Leiter der Panda Software Labore ist in Bezug auf die beiden Trojaner die sich auf Passwort-Diebstahl spezialisiert haben.

Sobald die Dateianhänge geöffnet werden infizieren beide Trojaner den Rechner folgt der Download des Trojaners Spyforms.A der nach IP-Adressen und Zugangsdaten für bestimmte Internet-Dienste sucht. Mit den gestohlenen Daten kann der Cyberkriminelle dann die Identität des betroffenen Anwenders annehmen und auf seine Kosten im Netz gesetzlich unerlaubte Geschäfte tätigen.