Podstęp jest jednocześnie prosty i skuteczny. Jak wyjaśnia Tomasz Zamarlik z G Data Software, cyberprzestępcy zachęcają odbiorcę wiadomości do otwarcia załączonego folderu, obiecując, że zawiera on krytyczną aktualizację dla systemu Windows XP SP3. Folder okazuje się plikiem o nazwie mswinxpa_sp3upd.exe, który został zamaskowany poprzez zmianę ikony pliku wykonywalnego na ikonę folderu. Uruchomienie tego pliku skutkuje zarażeniem systemu.

- Ofiarom, oczywistym wydawał się fakt, że aktualizacje i poprawki pochodzą od oryginalnego producenta - komentuje Zamarlik. - Temat wiadomości „Zabezpieczymy komputer i zapewnimy wszystkie aktualizacje” jeszcze bardziej uwiarygodniał wiadomość, a ikona folderu nie wzbudzała podejrzeń.

>> Czytaj także: Uwaga na fałszywe aktualizacje Windows

Po zadomowieniu się w systemie trojan łączy się poprzez port 25 z zewnętrznym serwerem SMTP, a następnie rozsyła wiadomości z fałszywym załącznikiem. Dodatkowo kilkukrotnie kopiuje się na dysku twardym i maskuje się pod znanymi nazwami plików. Wyłączając dostęp do menedżera zadań i edytora rejestru, szkodnik uniemożliwia podejrzenie i zabicie jego procesów oraz edycję wszystkich zaufanych procesów systemowych.

- Ten szkodnik jest nam już dobrze znany, jednakże maskowanie plików pod ikoną folderu jest interesujące - mówi Łukasz Nowatkowski z G Data Software, zalecając odbiorcom podejrzanych wiadomości bezwzględne usuwanie załączników. Warto pamiętać, że Microsoft nigdy nie wysyła aktualizacji pocztą e-mail. Najbezpieczniejszym sposobem zaktualizowania systemu Windows jest skorzystanie z narzędzi dostępnych w panelu „Centrum zabezpieczeń”.

>> Czytaj także: Cyberprzestępcy podszywają się pod Microsoft