Quando executado, o arquivo envia uma solicitação a um servidor e recebe de volta um arquivo .htm que abre uma janela do browser e carrega outro arquivo .htm de novo endereço web. Este último arquivo, por sua vez, abre uma terceira página HTML de outro domínio.

Após esse longo passeio pela internet, o cavalo de troia exibe uma mensagem que pode ser algo como:  “Obrigado pelo download deste arquivo. Clique em PLAY em ouça”; ou “Você deve clicar em SIM para ter acesso”.

Se o usuário clica em PLAY ou SIM, o invasor baixa e executa uma série de arquivos, também de várias origens. São outros cavalos de troia, programas espiões e ainda um adulterador de resultados de busca.

Segundo o blog Microsoft Malware Protection Center, a família de programas maliciosos Wimad é a sétima mais ativa no período de maio de 2008 a abril último, com a média de 1,5 milhões de casos mensais e pico em dezembro e janeiro, com cerca de 2,5 milhões cada.