اغلب ایمیل های ارسالی دارای فایل پیوست نیستند و تنها یک پیوند (link) در متن ایمیل وجود دارد که در ظاهر فیلم انفجارهای آمریکا را نشان می دهد. این پیوند متغیر است و به سایت های متفاوتی هدایت می شود ولی همه این سایت ها در دو کشور لتویا و اوکراین میزبانی می شوند.
موضوع (subject) این ایمیل های مخرب متغیر است ولی همه آنها مربوط به بمب گذاری های آمریکا می شود.
– Two explosions at Boston Marathon
– Aftermath to explosion at Boston marathon
– Video of Explosion at the Boston marathon 2013
در صورتیکه کاربر فریب خورده و وسوسه شود تا بر روی این پیوند مخرب کلیک کند، کاربر به یک سایتی هدایت می شود که در ظاهر فیلم انفجارهای آمریکا را که بر روی سایت YouTube قرار دارد، نمایش می دهد. ولی به محض نمایش این صفحه، تلاش برای آلوده کردن کامپیوتر قربانی آغاز می شود. از نقاط ضعف مختلفی برای نصب یک بدافزار بر روی کامپیوتر استفاده شده و در صورت موفقیت، اقدامات بعدی انجام می شود.
بدافزار نصب شده بر روی کاپیوتر قربانی، Registry را تغییر داده و کلیدهایی به آن اضافه می کند. همچنین فایل های زیر را بر روی کامپیوتر قرار می دهد.
– <system>\drivers\npf.sys
– <system>\packet.dll
– <system>\wpcap.dll
فایل NPF.SYS بعنوان یک سرویس جدید به نام NPF ثبت شده که در فهرست سرویس های فعال بصورت WinPcap Packet Driver (NPF) قابل مشاهده است.
به کلیه کاربران تصویه می شود که در زمان وقوع حوادث مهم و بین المللی، هوشیاری بیشتری نشان دهند. در باز کردن و یا اجرای ایمیل ها و فایل های ناشناس و مشکوک که حاوی سوژه های جنجالی و خبری روز هستند، دقت و توجه بیشتری داشته باشند.