Za změnu chování napadeného počítače je zodpovědný program P2load.A, který nahradí původní HOSTS soubor v infikovaném systému Windows. Při použití vyhledávače Google se pak uživatel namísto něj napojí na webovou stránku v Německu, která je pod kontrolou hackerů, uvedla v pondělí antivirová společnost PandaLabs.

Podle firmy je německá stránka identickou kopií Googlu, podporuje 17 různých jazykových mutací a dokonce na sebe přesměruje i vlastníka infikovaného počítače, který se splete a vyťuká "wwwgoogle.com".

P2load.A rovněž modifikuje vyhledávací možnosti programu Microsoft Internet Explorer.

"Cílem programu P2Load je zvyšovat návštěvnost stránek, které nalinkoval tvůrce kódu. Vir neslouží k ničemu jinému než k získávání peněz od společností, které chtějí být uvedeny v odkazech Googlu jako první", uvedl Luis Corrons, ředitel společnosti PandaLabs s tím, že za vývojem kódu nestálo nic jiného než finanční motivace. 

Červ se šíří prostřednictvím P2P sítí (Pandalabs uvádí Shareaza and Imesh). Na počítači se ukládá jako spustitelný "Knights of the Old Republic 2" soubor (známá hra z prostředí Hvězdných válek). Po rozkliknutí zobrazí program chybovou hlášku a nabídne daný program stáhnout. Mezitím však dochází k infikování systému Windows.