Tale malware sarebbe il primo realizzato per colpire gli annunci pubblicitari contestuali di Google, ma non si fermerebbe solo a questo.

Infatti, questo trojan, chiamato come Trojan.Qhost.WU (Trojan.Qhosts.F, QHosts-95), colpisce i sistemi Windows eseguendo l'hijack delle impostazioni contenute nel file "hosts" del sistema (%WINDIR%System32driversetc) in modo da re-indirizzare il caricamento degli annunci dal server di Google (page2.googlesyndication.com) verso un server third-party malevolo.

Il server nocivo è in grado di fornire contenuti a proprio piacimento e questo comporta un ulteriore rischio per gli utenti infetti, dato che questi contenuti (caricati al posto degli annunci AdSense) potrebbero puntare ad ulteriori codici malware.

Contestualmente l'hijack causa un danno diretto ai gestori dei siti web: prima di tutto impedisce all'utente infetto di raggiungere gli annunci pubblicitari che generano introiti per i siti, in secondo luogo potrebbe portare gli utenti a credere che questi siti stiano servendo contenuti nocivi o annunci non opportuni.

I sintomi dell'infezione da Trojan.Qhost.WU sono: 

1. le pagine web che normalmente includono pubblicità della piattaforma di advertising Google non mostrano annunci o mostrano contenuti provenienti da altre fonti. 

2. Il file hosts, utilizzato per fornire una mappatura locale "nome dominio/IP", include una linea di codice per il redirect dell'host "page2.googlesyndication.com". Per verificare l'eventuale infezione da parte del trojan, gli utenti possono eseguire un ping del server Google tramite linea di comando (ping -t pagead2.googlesyndication.com). La risposta offerta dal comando dovrebbe riportare un indirizzo IP in forma [6x.xxx.xxx.xxx] dove le "x" stanno per cifre da 1 a 9.
In caso di infezione la prima cifra dell'indirizzo IP non sarà 6 ma 9 (91.184.6.xxx).