Файлы, которые направляются в приложении, имеют форматы Doc, Rar, Zip и т.д. и содержат эксплойты для программного обеспечения Microsoft Office. После их открытия (в случае обновления вышеупомянутого программного обеспечения) происходит поражение компьютеров вредным программным обеспечением.
Этот вирус позволяет получать несанкционированный удаленный доступ к компьютерной технике, следить за ней и использовать для осуществления сетевых атак. Все пораженные средства вычислительной техники относятся к бот-сети.
Впервые рассылку спама с вирусами совершили в конце января этого года. Специалистами Государственной службы специальной связи и защиты информации Украины CERT-UA совместно с представителями иностранных профильных организаций и международного сообщества информационной безопасности были блокированы доменные имена и NS-серверы, обеспечивающих функционирование этой бот-сети.
Однако, как показывает анализ новых электронных писем, рассылаемых с 27 марта, доменные имена и NS-серверы, которые использовались бот-сетью, были изменены.
В случае получения подобных писем пользователям необходимо осуществить блокировку доступа к доменным именам, которые сейчас используются для функционирования бот-сети: nof.su, ohi.su, ohy.su, tknsk.su.
Кроме того, получатели писем должны срочно сообщить об этом в Государственную службу специальной связи и защиты информации Украины по адресу cert@cert.gov.ua и отправить образцы вредоносного программного обеспечения.
Для этого их необходимо отдельно хранить в архиве с паролем. Выбор пароля остается на усмотрение отправителя, поскольку известные пароли, такие как «infected», «virus» и другие могут распознаваться почтовыми системами, в результате чего потенциально вредоносный файл, содержащийся в архиве, будет удален.