Das Risikofenster, bis einer von BlackSpiders Antiviren-Partnern einen Pattern veröffentlichte, dauerte 12 Stunden und 30 Minuten. BlackSpider schätzt, dass etwa 390.000 Emails mit small.bdq innerhalb der kritischen Zeitspanne versendet wurden. Ohne den Einsatz heuristischer Verfahren in der Spam- und Virenabwehr sind Unternehmen im Risikofenster extrem verwundbar.
Der Trojaner kommt mit unterschiedlichen Betreffzeilen, darunter: „Security“, „Support“, „Update“, „Mail“, „Networking“ und „Security Update“.
Der Inhalt der Email wirkt, als würde sie von einem IT-Team stammen, das den Empfänger warnt. Sein Email-System sei angegriffen worden und würde nun Spam verbreiten:
Betreffzeile: Spam Report
Text der Email:
Dear user,
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service. If you choose to ignore our request, you leave us no choice but to cancel your membership.
Virtually yours,
Network Administrator Team
Im Anhang befindet sich eine gepackte ausführbare Datei namens zam.exe. Die mit nur 2,8 KB extrem kleine Datei beschädigt den Rechner nicht direkt, sondern lädt weitere gefährliche Dateien aus dem Internet nach.
„Wir warnen Unternehmen bereits seit langem, dass sich die Motivation der Virenschreiber gewandelt hat. War es zuerst der Wunsch nach Ruhm und Anerkennung, geht es inzwischen ums Geld, wie man an diesem Trojaner deutlich sehen kann“, beschreibt Günter Fuhrmann, Geschäftsführer BlackSpider GmbH, die veränderten Umstände für Spam und Viren. „Neben der massenhaften Verbreitung des Virus gab es einzelne Unternehmen – unterschiedlicher Branchen und Größen – die im 10-Minuten-Rhythmus angegriffen wurden. Die Auswirkungen dieser Angriffe können noch nicht abgeschätzt werden, aber einer der Gründe könnte das Ausspionieren sensitiver Daten sein. Wir schliessen nicht aus, dass dies mittels eines Key-Logging Tools passieren könnte.“