Um novo worm está se espalhando rapidamente no Twitter por meio do serviço de encurtamento de URLs do Google, o "goo.gl", e distribuindo links maliciosos. Segundo o especialista da Kaspersky Lab, Nico Brule, as mensagens no microblogging apresentam apenas um link, sem texto algum. O link malicioso leva para vários direcionamentos, e esses redirecionamentos em cadeia levam os usuários do Twitter que clicaram na URL para uma página que sugere a instalação do "Security Shield", um famoso scareware (programas que fingem vasculhar um computador em busca de vírus e em seguida informam ao usuário que sua máquina está contaminada) conhecido como Rogue AV, ou seja, um falso antivírus.
A pagina, que utiliza a mesma técnica de ofuscamento da sua versão anterior (Security Tool), tem como objetivo dificultar a identificação do código malicioso por meio da implementação de chaves de criptografia RSA no JavaScript da página. Ao acessar o site malicioso, um alerta surgirá informando que a máquina está executando aplicações suspeitas e pede que o usuário aceite um "escaneamento". Após clicar no OK, o "escaneamento" começa e as "infecções" passam a ser reportadas.
O usuário receberá instruções para remover as ameaças presentes em seu computador. Para que isso ocorra, é preciso baixar e instalar o "Security Shield", uma aplicação falsa que se passa por um antivírus. A interface do programa é traduzida conforme o idioma configurado no computador do internauta.