Sana, троянец загружается совместно с червем Win32.Alcra и содержит прикрепленный файл в формате PDF. Вредоносная программа большую часть времени проводит в фоновом режиме, но активизируется сразу же, как только пользователь заходит на Web-страницу, требующую идентификации, и устанавливает связь с российским сервером. Кроме того, троянец может считывать имеющиеся в системе и любые вводимые пароли, передавая информацию "хозяину". К настоящему моменту на русский сервер, который начал работу 16 марта, были отправлены данные примерно о 35 тыс. уникальных имен и паролей пользователей, предоставляющих доступ к 7 тыс. различных Web-сайтов, включая банковские и аукционные ресурсы. Специалисты Sana направили провайдеру, в распоряжении которого находится данный сервер, сообщение о происходящих событиях. Тем не менее, на момент подготовки материала, ресурс все еще работал.