По сообщению службы вирусного мониторинга компании "Dr. Web", по сети мгновенных сообщений ICQ распространилась новая модификация троянской программы, получившей название Trojan.PWS.LDPinch.1061. Вредоносный код заложен в файле oPreved.exe.
Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) имеет значок флэш-ролика, но это – троян, перехватывающий пароли.

После запуска oPreved.exe создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot),
%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) и временный файл C:\a.bat.
Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run «Shel»=Expllorer.exe;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices «Shel»=Expllorer.exe.

Пароли передаются через скрипт на сайте hxxp://220web.ru. Собираются все пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти фаерволы — как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Компания "Dr. Web" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов.

CNews.ru