Spyforms.BQ

Признаки:
При старте создаёт в директории Windows (далее %windir%) свою копию под именем "9129837.exe" и копию руткита Rootkit/Spyforms.BR под именем "NEW_DRV.EXE".

Обеспечивает себе автозагрузку при каждом запуске Windows, указывая себя в соответствующем разделе Реестра:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ttool = %windir%\9129837.exe


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Троян для платформы Windows. Контролирует трафик ftp, icq, pop3, imap, собирая реквизиты доступа. Для сокрытия себя в системе использует руткит Rootkit/Spyforms.BR.

Распространяется в спаме, информирующем об избрании Барака Обамы 44-м президентом США, ставшим первым президентом - афроамериканцем в этой стране. Спамерское сообщение содержит ссылку на вредоносный сайт, замаскированный под домен "America.gov". На сайте содержится несколько новостей и видео. При попытке просмотра видео пользователю предлагается загрузить якобы обновление Adobe Flash (ADOBE_FLASH9.EXE). Данный исполняемый файл представляет собой копию трояна.