Wzrost aktywności tego malware, wiąże się z,,zaletami” kodu VBA nad innymi rozwiązaniami wykorzystującymi błędy w oprogramowaniu. Visual Basic jest prosty do napisania, modyfikowania i dostosowywania. Podobną funkcjonalność można często wyrażać na wiele sposobów, dzięki czemu autor złośliwego kodu ma więcej opcji jego implementowania, niż w przypadku exploitów. Ponadto exploity są przywiązane do konkretnych wersji pakietu Microsoft Office, dlatego autorzy malware, mają nadzieję, że użytkownicy korzystają z zagrożonego atakiem pakietu lub takiego, który ma nieaktywną ochronę antywirusową.
Kod Visual Basic w przeciwieństwie do tego rozwiązania nie jest powiązany z konkretną wersją pakietu Office. Jest to jego niewątpliwa zaleta co nie oznacza, że nie posada on słabych stron. VBA nie radzi sobie z funkcjami Makr Microsoftu, dlatego w Office 2007 i późniejszych wersjach pakietu wszystkie Makra pochodzące z nieznanych źródeł są domyślnie wyłączane, a ich kod jest stosowany tylko przy zezwoleniu samego użytkownika. Aby obejść dane zabezpieczenia, autorzy złośliwego kodu VBA, stosują techniki inżynierii społecznej, aby skłonić użytkowników do uruchamiania makr.
VBA template
W przeciągu ostatnich kilku miesięcy SophosLabs odkrył liczne szablony VBA do pobrania. Próbki zawierają kod Visual Basic z pomocnymi uwagami, dotyczącymi miejsc w których należy umieścić niebezpieczne łącza, jak również o sposobach na zaciemnianie kodu. Template jest niezwykle prosty do zaprojektowania nawet przez początkującego programistę.
Zagrożenia, które wydawały się nieaktualne, po pewnym czasie mogą wrócić i oddziaływać ze zdwojoną siłą.