Concret, troianul care provoacă paguba este adus pe sistem „din mână în mână”, pornind de la un website infectat şi trecînd printr-o sumedenie de alţi troieni.
Primul pas al infecţiei îl reprezintă vizitarea unui site legitim, dar pe care l-a atacat în prealabil un hacker şi pe care acesta a încărcat o aplicaţie periculoasă scrisă în Java.
După instalare, troianul verifică o listă de adrese de la care va descărca şi va executa alţi troiani de tip „bancher”. Aceştia sunt găzduiţi pe mai multe servere compromise, în aşa fel încât, dacă unul dintre servere este închis sau curăţat de viruşi, troianul să poată aduce „bancherii” de pe un altul.
Troianul de e-banking va urmări ce tranzacţii electronice face utilizatorul calculatorului şi va fura datele acestuia de conectare, date care vor ajunge în mâna atacatorului. Din cauza faptului că aceşti „viruşi bancheri” fură informaţii direct din formularul browser-ului, utilizatorul nu-şi poate da seama că datele lui ajung şi altundeva decât la site-ul băncii.
Metoda de distribuţie a troianului este foarte complexă. Acest circuit are ca scop protejarea troianului final faţă de producătorii de soluţii de securitate şi faţă de sistemele lor automate de semnare a viruşilor. Acestea vor identifica şi semna, în multe cazuri, unul dintre troienii intermediari, care sunt uşor de înlocuit, şi nu troianul „bancher”, care e cea mai periculoasă componentă a atacului.
Pentru a evita infectarea, utilizatorii sunt sfătuiţi să nu instaleze nici o aplicaţie care este promovată prin mesaje de tip pop-up. Dacă sistemul informează utilizatorul că îi lipsesc plug-in-uri sau codec-uri, acesta trebuie să descarce manual respectivele aplicaţii de pe paginile producătorilor.