Według CERT pobrany plik MSUPDATE32.exe (bądź MSUPDATE64.exe) to bot Andromeda. Celem jest wydobycie haseł ofiary z różnych aplikacji. Pozwala wykraść hasła zapisane m.in. w takich programach jak jDownloader (hasła do kont premium na stronach służących do dzielenia się plikami, np. rapidshare), Trillian (komunikator internetowy), książka telefoniczna Remote Access Connection (dane do usług typu Dial-Up Networking), FileZilla (dane do logowania do serwerów FTP), Yahoo! Messenger.

Według CERT wiele wskazuje na to, że autorem ataków jest ta sama osoba, która stworzyła wykryte wcześniej złośliwe oprogramowanie VBKlip w wersji .NET. Zainfekowano co najmniej 700 adresów IP. Dane dostępowe do ponad 3,5 tys. serwisów internetowych (w tym serwisów bankowości elektronicznej) i serwerów FTP zostały wykradzione. Ofiarami byli głównie internauci z Polski.

Artykuł Groźny atak na klientów Allegro pochodzi z serwisu CRN.