Кампанія «Доктар Вэб» паведаміла аб рэзкім росце ў паштовым трафіку за апошні тыдзень колькасці спам-лістоў з прыкладзеным архівам, у якім утрымоўваецца шкоднасная праграма, вызначаная антывірусам Dr.Web як Trojan.Packed.1198.
Зыходны ліст, якое прыходзіць карыстачу, мае яркі загаловак - «New anjelina jolie sex scandal». У целе ліста знаходзіцца запрашэнне адкрыць прыкладзены файл, у якім нібы знаходзіцца порна-ролік. Варта адзначыць, што дадзены прыём шырока распаўсюджаны ў сучасных спам-рассыланнях, аднак апошняя стала настолькі масавай (больш 50% усяго інфікаванага паштовага трафіку ў пікавыя гадзіны па дадзеных па дадзеных сервера статыстыкі кампаніі «Доктар Вэб»), што Trojan.Packed.1198 заразілася мноства карыстачоў, як у Расеі, так і па ўсім міры.
Архіў, прыкладзены да ліста, утрымоўвае ўсталёўнік шкоднаснай праграмы на кампутар карыстача - anjelina_video.exe памерам 44 032 байта. У сваю чаргу ён утрымоўвае файл, вызначаны Dr.Web як Trojan.MulDrop.17829. Шкоднасная праграма правярае, не ці ўсталяваныя ўжо ў сістэме некаторыя з вядомых выглядаў лже-антывірусаў (розныя мадыфікацыі Trojan.FakeAlert). У выпадку наяўнасці іх у сістэме, Trojan.MulDrop.17829 завяршае працу і выдаляе сябе. Калі жа ніякіх прыкмет лжеантивирусов не выяўляецца, траянец прымаецца за актыўныя дзеянні.
Першым чынам, Trojan.MulDrop.17829 расшыфроўвае змешчанага ўсярэдзіне яго файл і захоўвае яго ў сістэмным каталогу з імем brastk.exe. Захаваны файл таксама вызначаецца як Trojan.Packed.1198, т.к. у ім выкарыстоўваецца пакавальнік, падобны з тым, што выкарыстоўваецца ў зыходным файле. Таксама ў сістэме захоўваецца файл figaro.sys. Пры загрузцы драйвера траян часова замяняе ім драйвер beep.sys, што дазваляе маскіраваць запуск сваіх драйвераў ад шматлікіх антируткит-утыліт. У завяршэнне траян знішчае зыходны файл і перазагружае сістэму.
Актыўнасць траяна складаецца ў змене налад зон бяспекі Windows, адключэнні папярэджання Windows аб адсутнасці антывіруса, выключаным убудаваным файерволле, а таксама абнаўленняў. Пры гэтым убудаваны файерволл таксама адключаецца. Затым траян выдаляе з рэестру дадзеныя пашырэнняў Internet explorer і ўсталёўвае ў якасці пошукавага рухавічка Google, таксама змяняючы стартавую старонку на www.google.com. У выніку, траян выводзіць паведамленне аб тым, што кампутар інфікаваны і прапаноўвае запампаваць сродак дужання. Цікавая асаблівасць складаецца ў тым, што ён запампоўвае шкоднасныя файлы яшчэ да высновы паведамлення аб заражэнні сістэмы карыстача. Пік спам-рассыланняў з Trojan.Packed.1198 прыйшоўся на 20-22 кастрычніка. З 25 кастрычніка ў практычна ідэнтычных лістах пачалася рассыланне шкоднасных праграм, вызначаных Dr.Web як Trojan.PWS.Panda.31.