Jestliže uživatel kline na odkaz pro přijetí "valentinky", je přesměrován na server, který zobrazí zprávu o nutnosti stažení aplikace flashplayer. Tato aplikace s názvem flashplayer.cab je ve skutečnosti balíčkem obsahujícím trojského koně Win32/Hanlo.I. 

Soubor flashplayer.cab obsahuje soubor install.exe (CA Antivirus jej zná jako virus Win32/MicroJoiner.I). Ten po spuštění vytvoří a spustí trojského koně Win32/Hanlo.I, který poté vytvoří ovladač, který přítomnost trojana na infikovaném počítači skryje.

S cílem dále maskovat instalaci otevírá trojský kůň i webovou stránku, která vypadá jako elektronická valentinka. Jde o falešnou stránku simulující skutečný serveru s "původními valentinkami" na webové stránce http://www.original-cards.com/.

"Jde o příklad klasického společensko-inženýrského útoku podobného útoku viru "I Love You" (VBS.Loveletter)," domnívá se CA. "Útočníci v současnosti předpokládají, že uživatelé zapomněli na svou ostražitost," dodali zástupci CA s tím, že si zatím nejsou jisti, jak bude jejich nová taktika úspěšná.