Aby ukraść informację oprogramowanie musi być sprowadzone do systemu użytkownika. W tym celu może on zostać 'zachęcony' do ściągnięcia złośliwego kodu lub zainfekowanie komputera może nastąpić poprzez inną formę programu szkodliwego (specjaliści Sana zaobserwowali, że oprogramowanie było sprowadzane w połączeniu z robakiem Win32.Alcra). Po zainstalowaniu, program wysyła przechwycone informacje do serwera zlokalizowanego na terenie Rosji, który według zapewnień Sana działa już od 16 marca br.

Oprogramowanie składa się z dwóch komponentów: aplikacji konia trojańskiego, która komunikuje się z serwerem na terenie Rosji oraz oprogramowania rootkita, które ukrywa szkodliwy kod przed narzędziami systemowymi i programami antywirusowymi.

Rootkit.hearse używa tej samej techniki ukrywania, jakiej używał niesławny rootkit XCP Sony BMG Music Entertainment, co bardzo utrudnia jego wykrywanie. Rootkit został wykryty jedynie przez pięć z 24 testowanych przez Sana produktów ochronnych.

Oprogramowanie konia trojańskiego przez większość czasu pozostaje w uśpieniu, uaktywnia się aby nawiązać komunikację z serwerem z chwilą, gdy użytkownik łączy się z witryną webową wymagającą uwierzytelnienia. Oprogramowanie odczytuje identyfikatory i hasła wprowadzane z klawiatury.

Sana powiadomiła rosyjskiego ISP o istnieniu takiego serwera w poniedziałek, ale jeszcze we wtorek serwer nadal działał.