A Kaspersky által felfedezett káros kódot az orosz weboldalak által használt AdFox hirdetési rendszer terjesztette. A rendszer memóriájába bejutott kártevő a böngészési előzményekről küld információt egy szerverre, valamint banki adatok ellopására specializálódott trójaikat telepít, mint amilyen például a Lurk.

A reklámok betöltése alatt a felhasználók böngészőjét titokban átirányították egy fertőzött weboldalra, amely egy Java-sebezhetőséget tartalmazott. A Java-program azonban nem töltődött le a merevlemezre, hanem csak a támadott gép memóriájába töltött be, így gyakorlatilag észrevehetetlen a vírusírtók számára.

A program információkat küld a felhasználó böngészési előzményeről egy irányító-szervernek. Amennyiben az adatok között az elektronikus bankolásra utaló nyomok vannak, a kiberbűnözők feltelepítik a Lurk banki trójait, hogy ellopják a felhasználó hozzáféréseit. A Kaspersky elemzése szerint legalább 300 ezer gépet fertőztek meg Lurkkal az elmúlt hónapokban.

Nem ez az első ilyen vírus, a legismertebb hasonló férgek a CodeRed és Slammer, amelyek tömeges fertőzéseket okoztak az elmúlt évtized elején. Annak ellenére, hogy az ilyen programok csak az operációs rendszer újraindításáig futnak, a kártevő hatékonynak tűnik, mivel elég valószínű, hogy a felhasználó visszamegy a fertőzött oldalakra.