URL’i osa, mis sisaldab tuttavat domeeni, näiteks “starman.ee” on võetud saaja aadressist, et asi usutavam oleks. URL on aga ise petekas, selle taga asub tegelikult tontserver, mille aadressi võib vaadelda kirja lähtekoodiga tutvudes.
URL’il klikates, käivitatakse script, mis laeb ohvri arvutisse ussfaili
(alpha.exe) ja käivitab selle, lisaks näeb klikkaja ka pornoreklaami.
Käivitunud uss käitub nagu viirustele kohane, kasutab adressbook’i ja olemasolevaid meile sihtaadresside tarbeks, ning moodustab saatja aadressi mailikonto seadetest, nii tekib näiteks “Mail From” reale:
mail.starman.ee