Messenger-haittaohjelma houkuttelee käyttäjää avaamaan epämääräisessä osoitteessa sijaitsevan kuvatiedoston. Todellisuudessa kuvatiedoston avaamisen yrittäminen johtaa kuitenkin haittaohjelman asennustiedostoon.

Haittaohjelma houkuttelee suomalaisia käyttäjiä esiintymällä käyttäjän ystävänä.

Houkutteluviesteinä ohjelma käyttää ainakin seuraavia keskustelunaloituksia: "Moi :) ootko tässä? :D", "Onks tää sun kuva ?" ja "Olit aika kännissä :D"

Näillä aloitusrepliikeillä alkaviin keskusteluihin on syytä suhtautua hyvin varauksellisesti.

Haittaohjelman tarjoamien tiedostojen nimet vaihtelevat. Yksi tarjotuista tiedostoista on nimeltään: photo95.JPG-www.msnimages.com.

Haittaohjelman sisältäviä tiedostoja jaellaan useiden eri palvelimien avulla.

Viestintäviraston CERT-FI-yksikön mukaan haittaohjelmaa on jaeltu myös fi-verkkotunnusten alta löytyvissä osoitteissa.

Messengerin lisäksi troijalainen yrittää levittäytyä käyttämällä hyväkseen saastuneen koneen mahdollisesta lähiverkosta löytyviä RealVNC-ohjelmistoja ja niiden aukkoja.

Vanha pöpö
kustomoitiin Suomeen

Messenger-käyttäjien yhteystietojen avulla leviävä haittaohjelma on tiettävästi vuonna 2002 debyyttinsä tehneen Sdbot-troijalaisperheen variaatio Backdoor.Win32.SdBot.ebp.

F-Securen tutkimusjohtaja Mikko Hyppönen ei osaa sanoa onko suomea puhuva troijalainen ulkomaista tekoa.

– On mahdollista, että joku suomalainen virustehtailija kokeilee onneaan, Hyppönen sanoo.

Troijalaisen saastuttamat koneet ovat avoinna hyökkäyksille. Haavoittunut kone on hyökkääjän ohjailtavissa.

Ainakin F-Securen virustorjuntatyökalun tuorein versio tunnistaa troijalaisen uuden version.

(Päivitys: Uutiseen lisätty tietoja.)