Spyforms.BQ

Признаки

При старте создаёт в директории Windows (далее %windir%) свою копию под именем «9129837.exe» и копию руткита Rootkit/Spyforms.BR под именем «NEW_DRV.EXE».

Обеспечивает себе автозагрузку при каждом запуске Windows, указывая себя в соответствующем разделе Реестра:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ttool = %windir%\9129837.exe

ЗАЩИТА

Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить тем более изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Контролирует трафик ftp, icq, pop3, imap, собирая реквизиты доступа. Для сокрытия себя в системе использует руткит Rootkit/Spyforms.BR.

Распространяется в спаме, информирующем об избрании Барака Обамы 44-м президентом США, ставшим первым президентом – афорамериканцем в этой стране. Спамерское сообщение содержит ссылку на потрясающе вредоносный сайт, замаскированный под домен «America.gov». На сайте содержится несколько новостей и видео. При попытке просмотра видео пользователю предлагается загрузить якобы обновление Adobe Flash (ADOBE_FLASH9.EXE). В самом деле данный исполняемый файл представляет собой копию трояна.

источник: PandaSecurity.com