Volgens antivirusbedrijf Kaspersky Lab is de malware een variant van het Trojaanse paard 'Trojan-PSW.Win32.Sinowal.u' . Het bestand bevindt zich als attachment bij een Duitstalig spambericht, waarin wordt vermeld dat de bijlage een officiële Windows Update is.

De e-mail is afkomstig van een .de-mailadres. In de Duitse tekst is te lezen dat er een nieuwe worm actief is, en dat het bijgevoegde bestand de gebruiker beschermd tegen een mogelijke inbreuk. Het onderwerp van het bericht is: 'Achtung! Wichtige Nachrichten von Microsoft Windows Update!'

Het Trojaanse paard behoort tot de Sinowal-familie. Volgens onderzoekstechnicus Roel Schouwenberg van Kaspersky Lab zijn de makers van tactiek veranderd. In december vorig jaar dook voor het eerst een Sinowal-virus op, dat zich installeerde als gebruikers met een onvoldoende gepatchte browser op malafide websites kwamen.

Pop-up

Volgens Schouwenberg hebben de makers waarschijnlijk nu voor massale spamberichten gekozen, omdat de browser-exploit niet goed genoeg werkte. Het Trojaanse paard van Sinowal kan wachtwoorden stelen, zelfs wanneer internetters gebruik maken van Secure Sockets Layer (SSL) transacties met hun bank.

De trojan voegt een html-code toe aan de websites van banken, waardoor een pop-up venster gelanceerd wordt waarin om de gebruikersnaam en het wachtwoord gevraagd wordt. Het programma is voorgeprogrammeerd om op bepaalde banksites te reageren.

Uniek is volgens Schouwenberg dat de wachtwoordinformatie direct naar de server van de hacker wordt gestuurd, en niet wordt opgeslagen voor periodieke overdrachten. Daarnaast kan het Trojaanse paard controleren of er updates van zichzelf zijn uitgebracht.

Op de website Viruslist.com zegt Schouwenburg dat pc-gebruikers hun wachtwoorden moeten veranderen, ook al hebben ze de Sinowal-infectie van hun pc verwijderd. Hij herinnert computergebruikers eraan dat Microsoft nooit exe-bestanden in e-mails verstuurt, waardoor het mailtje eenvoudig als vals te herkennen is.