Документ, который получили сотрудники F-Secure, содержит поднимающую ряд политических вопросов статью на китайском языке, которая была написана год назад.
По мнению специалистов, вирус может применять технологию копирования, позаимствованную у вредоносных программ для Windows, при которой использовались файлы с расширением .pdf.exe с иконкой PDF. Описываемый F-Secure файл был получен через онлайн-службу VirusTotal и мог использовать любое расширение.
После запуска вирус в фоновом режиме устанавливает бэкдор под названием Backdoor:OSX/Imuler.A. По адресу, определяемому бэкдором как центр управления, развернут HTTP сервер Apache, не способный отправлять какие либо команды удаленным узлам. Доменное имя было зарегистрировано 21 марта 2011 года, последнее обновление зафиксировано 21 мая 2011 года.
Точной информации о способе распространения вируса нет. Наиболее вероятным считается рассылка спам сообщений с вирусом во вложении. Также есть вероятность того, что вредоносная программа была отправлена в службу VirusTotal ее автором, желающим проверить, смогут ли его идентифицировать различные антивирусные программы.