Ta sporočila z zadevo kot je “UPS packet N3621583925”, so videti kot da prihajajo od logističnega podjetja UPS. Vsebina sporočila informira prejemnika, da ni bilo možno poslati njegove pošiljke in mu svetuje, da natisne kopijo računa, ki je v prilogi.

Račun je priložen v “.zip” datoteki, ki v bistvu vsebuje izvršilno datoteko označeno kot Microsoft Word dokument z imenom kot je npr. “UPS_invoice”. V kolikor napadeni uporabnik zažene to datoteko bo le-ta vnesla kopijo trojanca v njegov računalnik.

Škodljiva koda se sama kopira v sistem in nadomesti windows sistemsko datoteko userinit.exe. Ta datoteka poganja brskalnik Internet Explorer, sistemski vmesnik in druge pomembne procese. Za normalno delovanje računalnika in nadaljnje razširjanje okužb trojanec kopira sistemsko datoteko na drugo lokacijo pod imenom userini.exe.

“Vsi ti poskusi niso bili evidentirani v skladu s trenutno dinamiko škodljivcev: kiber kriminalce ne zanima več slava in razvpitost; zanima jih le finančna korist kakor neopazno je mogoče”, pravi Luis Corrons, tehnični direktor PandaLabs.

Na koncu Agent.JEN se poveže na rusko domeno (se že uporablja pri drugih bančnih trojancih) in jo uporabi za pošiljanje povpraševanja na nemško domeno za prenos rootkitov in adware-a. ki jih je PandaLabs odkril kot Rootkit/Agent.JEP in Adware/AntivirusXP2008. To še bolj poveča tveganje pred okužbo.

“Spoznali smo že, da kiber kriminalci uporabljajo erotične slike, božične in romantične voščilnice, slavne filmske zvezde itn., da pritegnejo čimveč uporabnikov k poganjanju okuženih datotek. Vaba kot je ta, pa ni ponavadi uporabljena”, pojasnjuje Corrons. “To jasno kaže, da kiber kriminalci poskušajo uporabiti vabe, ki ne izgledajo sumljive za razširjanje njihovih kreacij”.

Več informacij je na voljo na PandaLabs blogu: (http://pandalabs.pandasecurity.com/archive/Fake-UPS-Invoice-Email.aspx)