Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) имеет значок флэш-ролика, но это – троян, перехватывающий пароли.
После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot),
%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) и временный файл C:\a.bat.
Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices «Shel»=Expllorer.exe.
Пароли передаются через скрипт на сайте hxxp://220web.ru. Собираются все пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти фаерволы — как встроенный в операционную систему, так и некоторых сторонних разработчиков.
Компания "Dr. Web" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов.
CNews.ru