Die beim Anwender eintreffenden Spam-Mails tragen als Betreff die Zeile "Parcel requires declaration". Die Mail selbst versucht den Empfänger davon zu überzeugen, das vermeintlich angehängte Formular auszufüllen:
"Good day, We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.
Kind regards,
Lucinda Addison
Your Customs Service"
Der Dateianhang der E-Mail trägt den Namen Bill-Tax.zip. Das Archiv enthält die Datei "Bill_Tax___________________________N89798742344.exe". Windows zeigt bei der Datei das Symbol eines Word-Dokuments an - eine perfektionierte Tarnung durch die Virenbastler.
Der von Avira als Tr/Spy.ZBot.dkx erkannte Schädling legt bei der Ausführung eine Kopie von sich selbst im Windows-Verzeichnis unter dem Namen ntos.exe ab. Er versteckt sich nach dem Systemstart mit Rootkitfunktionen, indem er Code in die Windows-Systemdatei winlogon.exe injiziert.
Zudem verbindet er sich mit einem Server im Internet und lauscht auf eingehende Pakete. Weiterhin spioniert der Trojaner den Anwender aus. Außerdem lädt der Schädling aus der ZBot-Familie weitere Komponenten nach. Den heruntergeladenen Schädling erkennt Avira als TR/Dldr.Agent.xft.
Avira-Nutzer sind bereits vor dem Trojaner geschützt. Die Antivirenlösungen des deutschen IT-Sicherheitsspezialisten erkennen den Schädling mit der Virendefinitionsdatei 7.00.05.168 als TR/Spy.ZBot.dkx.