Per Mail Spam-artig verschickte falsche Rechnungen folgen einem schon länger zu beobachtenden Trend zur Verbreitung Trojanischer Pferde. Die Mail-Sicherheitsfirma Black Spider Technologies meldet über 200.000 Mails mit dem als "Small-BXP" bezeichneten Schädling.
Die Mails kommen mit einem Betreff wie "Payment receipt" und einem Anhang namens "FILE.965658.exe" (5462 Bytes). Der Text der Mail beginnt mit:
"Dear customer.
Thank you for your subscription to http://www.viewpornstars.com.You have been billed as Paycom LLC for the amount of:GBP 24.95 for 30 days then GBP 24.95 recurring every 30 days. [...]"
Einziger Sinn dieses Textes ist es den Empfänger zum Öffnen des virulenten Anhangs zu verleiten. Der Schädling legt dann eine Datei "svchost.dll" im System-Verzeichnis von Windows oder im aktuellen Verzeichnis an. Diese wird mit der ID "{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}" als BHO (Browser Helper Object) im Internet Explorer eingetragen.
Dieses BHO überwacht Browser-Fenster und wartet auf bestimmte Zeichenketten wie etwa "gold", "cash", "bank", "log", "user", "usr" oder "pwd" und weitere. Dann tritt der Key-Logger in Aktion und protokolliert die Eingaben. Diese sendet er in regelmäßigen Abständen an einen Web-Server.
Die meisten Antivirus-Programme erkennen den Schädling mittlerweile, falls die neuesten Updates installiert sind. Antivirus-Software erkennt das Trojanische Pferd teils als eine neue Variante aus der "Bagle"-Familie, teilweise wird es auch der recht ähnlichen "Mitglieder"-Familie zugerechnet. Bei Symantec heißt er hingegen "PWSteal.Tarno.Q".