На самом же деле в документе содержится троянский макрос, написанный на Visual Basic for Applications, который извлекает из документа и устанавливает на компьютер жертвы программу перехвата паролей LdPinch. Сама "Лаборатория Касперского" хвалится тем, что данный троянский код не должен проникнуть в систему благодаря работе его проактивной защиты, которой для предотвращения заражения достаточно запретить хотя бы одно из четырех подозрительных действий. Однако управление этой защиты отдано на откуп самому пользователю, который может просто не понять происходящего и разрешить установку троянской программы.