Вирусные сообщения поступали как от организаций, так и от неизвестных отправителей, в том числе иностранных. Вложенные в письма вредоносные программы являлись новейшими модификациями, которые не детектировались средствами защиты в день получения писем по причине отсутствия информации об этих модификациях в базах сигнатур средств защиты от воздействий вредоносного кода.
Как указывает Сычев, схожесть методик различных атак указывает на то, что планируются и реализуются они из единого центра. При этом вирусописатели имеют очень высокую квалификацию: они умело скрывают следы источников атаки, регистрируя домены для рассылки писем за рубежом и незадолго до атаки, что затрудняет обращение к владельцам ресурса; они отлично разбираются в технологиях «корпоративного шантажа»; количество атакуемых объектов постоянно увеличивается.