Bereits am 17. September begann die Massenverbreitung des Trojaners. Momentan tauchen jeden Tag über eine Million E-Mails mit Trojan.DownLoad.47256 auf. Unter der im gesamten E-Mail-Traffic detektierten Malware nimmt dieser Schädling in der Zwischenzeit einen Anteil von über 90 Prozent ein.
Trojan.DownLoad.47256 ist ein klassischer Downloader. Nach dem Starten erzeugt er den Prozess svchost.exe bzw. smss.exe und fügt während diesem Vorgang seinen Code ein. Die Ausgangsdatei wird gelöscht und der Trojaner versucht Malware von einer extra angefertigten Website herunterzuladen. Wenn der Versuch gelingt, startet Trojan.DownLoad.47256 den Download und schließt ihn ab. Die geladenen Schaddateien weisen dabei unterschiedliche Funktionalitäten auf.
Laut Doctor Web ist die Website, von der Trojan.DownLoad.47256 Malware lädt, nicht mehr aktiv. Dennoch ist nicht auszuschließen, dass weitere neue Varianten von Trojan.DownLoad.47256 mit einer ähnlichen Funktionalität auftauchen. Auch die deaktivierte Malware-Website kann von den Betreibern zu einem späteren Zeitpunkt wieder aktiviert werden.