金山毒霸反病毒专家李铁军告诉记者，该木马区别于灰鸽子的一大特点是，它会伪装成正常的常用文件图标，诱骗用户点击，使它得以运行。至于采用何种图标，则根据变种的不同而定。记者随机采访的网友小杨表示，“前天下午准备使用WORD写文章，在点击WORD图标后，却发现无法进入，当时也没在意。到第2天，QQ号就被盗了。”

李铁军分析指出，该木马被点击运行后，病毒释放出文件userdata.exe和userdata.dll到%WINDOWS%目录下。不过，这些文件的名称不固定，它们也可能采用其他看似正常的系统文件的名称。接着，病毒就注入svchost.exe等系统进程，隐蔽地运行自己。一旦病毒顺利运行起来，就会与病毒作者(黑客)指定的远程地址连接，使得黑客可以监视用户的电脑屏幕，以及在无任何提示的情况下启动视频设备，并且还可以执行任何其想要的其他非法操作。