AFP

Jak podaje InfoProf, na skrzynkach polskich internautów pojawiły się e-maile o kuszących tematach w języku polskim np.: "Odezwij się do mnie 2008 kl-52" lub "Jak mi podasz swój num to sie z toba umowie co ty na to 2008 reference_829".

W treści tych wiadomości znajduje się obrazek udający zatrzymane video, podpis (np. Hello, Kocham Cię, Kochanie) oraz komunikat informujący o konieczności pobrania dodatkowych kodeków w celu odtworzenia filmu.

Kliknięcie na link lub fałszywe wideo powoduje przeniesienie na stronę, na której oczekuje videocodec.exe, rozpoznawany przez program NOD32 jako szkodnik Agent.NEQ.

Jeśli użytkownik korzysta z Firefoksa, zostanie zaalarmowany o próbie oszustwa. Użytkownicy Linuksa ujrzą natomiast komunikat o niedostępności serwera.

Po zainstalowaniu się na komputerze szkodnik chowa swój plik instalacyjny i rejestruje się w systemie jako nowy sterownik (Microsoft ASPI Manager). W systemie pojawiają się pliki:

Temp_check32.bat

Tempcmd2.exe

Windowsdb32.txt

Windowss32.txt

Systemaspimgr.exe

Windowsws386.ini

Potem trojan odpytuje serwer DNS TPSA - 194.204.152.34 o kolejne domeny, które ma na liście pobranej wcześniej z serwera 58.22.101.118. Lista domen, o które pyta szkodnik zawiera praktycznie same polskie domeny (m.in. poczta.fm, gadu-gadu.pl, tvp.pl).

Jeśli trojan otrzyma poprawne rozwiązanie adresu DNS dla którejś z nich, stara się połączyć do niej na porcie SMTP. Co więcej szkodnik stara się zgadywać subdomeny pocztowe i jeśli połączenie się powiedzie, wysyła e-maile do użytkowników tej domeny.

Jak podaje InfoProf, w chwili obecnej szkodnika oprócz NOD32 rozpoznają programy antywirusowe BitDefender, Microsoft oraz Sophos. Generalnie jednak warto pamiętać, że list od tajemniczej nieznajomej raczej nie będzie zawierał sympatycznego filmu.