بنابر
نظر کارشناسان سیمانتک هدف این بدافزار بیشتر روی رایانههای کاربران
ایرانی متمرکز شده است. اگرچه، این بدافزار بعضی شرکتها در آمریکا و
انگلستان را نیز آلوده کرده است امّا تعداد آنها بسیار محدود میباشد.
این بدافزار به سراغ پایگاه داده SQL مایکروسافت رفته و در نمودارهای موجود در آن به دنبال لغات و یا اعداد خاص گشته و آن را با اعداد و کلماتی متفاوت جابهجا کرده و یا آن ردیف نمودار را حذف میکند.
کارشناس امنیتی سیمانتک میگوید: "این بدافزار برای دزدیدن اطلاعات از سیستمهای آلوده طراحی نشده است بلکه برنامه نویسی آن به صورتی است که اطلاعات درون پایگاه داده مقصد را تخریب کند."
"شونیچی ایمانو" اضافه میکند: "بنابر تحقیقات ما، اکثریت کاربرانی که دچار این کرم شدهاند شرکتهای تجاری میباشند. این کرم به دنبال اسکیوالهایی با نامهای "علیم" ، "ماریلان" و "شهد" میگردد و هنگامی که وارد آن شد، به دنبال واژگانی همچون "BankCheck" و "buyername" میگردد. البته بعضی از کلماتی که این کرم آنها را جستجو میکند نیز به فارسی میباشند؛ مانند: "حساب جاری" و " پس انداز".
پیتر کوگان مدیر امنیتی سیمانتک میگوید: "ما به دنبال تحقیقات بیشتر بر روی این بدافزار هستیم تا ببینیم که آیا ارتباطی بین این کرم و ویروس استاکسنت یافت میشود یا نه."
این مدیر امنیتی میگوید: "هنوز معلوم نشده است که منبع این بدافزار کجاست اما آنچه مشخص است این است که این کرم پس از وارد شدن به سیستم مقصد با افزودن کلید رجیستری تقلبی از طریق فایلهای اشتراکی بین سیستمها و یا حافظههای قابل حمل همچون فلش مموری کارمندان وارد دیگر رایانهها میشود."
وی همچنین اضافه میکند: "این کرم نسخههای مختلف ویندوز همچون: ویندوز 7، ویندوز سرور 2008، ویستا و ایکسپی را آلوده میکند."