Virüs, insanlara bilişim hizmeti vermek amacıyla kurulan doctus.org'un güvenlik ağlarına takıldı ve kayıt altına alındı. Buna göre, Facebook kullanıcılarına 'photofacebook.net' isimli bir adres iletiliyor. O an aktif olanlar, kendilerine gönderilen araç çubuğunda 'facebook' ibaresi de yer aldığı için hiçbir şeyden şüphelenmiyor ve kısayolu tıklıyor. Bunun üzerine Facebook'un sayfasından ayırt edilemeyen bir sayfa açılıyor. Burada kullanıcı adı ile şifrenin yazılması isteniyor. Adrese girmek için yazılan şifre ve kullanıcı adı anında kayıt altına alınıyor. Saldırıyı ortaya çıkaran doctus.org'un kurucusu Tansu Günay, tecrübeli bir kullanıcının virüsü rahatlıkla sezebileceğini söylüyor. "Çünkü orijinal Facebook'a ait yan kalemlerin hepsi 'photo.facebook' gibi nokta ile ana isimden ayrılmak zorunda." diyor. Saldırı ile neyin amaçlandığı konusuna değinen Günay, "Toplu banka hesabı boşaltmak için kimlik bilgileri toplanıyor olabilir." uyarısında bulunuyor. Günay, "Kullanıcılar aynı ad ve şifre ile sanal banka hesabını da kullanıyor olabilir. Ya da bu şekilde toplanan milyonlarca kimlik bilgisi ile toplu banka, şirket ya da sanal adres saldırısı amaçlanıyordur." diyerek, kullanıcılardan dikkatli olmalarını istiyor.