A Nabload féreg DRS variánsa ezúttal portugál nyelvű elektronikus levelek révén próbál minél több számítógépre felkerülni. A levelekben az olvasható, hogy ha az e-mail címzettje rákattint az üzenetben szerepelő hivatkozásra, akkor egy Maradonáról készült videót tekinthet meg. A valóságban azonban ebből semmi sem igaz, ugyanis a hivatkozás mögött egy exe kiterjesztésű állomány található, amely a féreg kódját tartalmazza.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Nabload.DRS legfontosabb feladata, hogy egy olyan kártékony programot jutasson rá a már amúgy is fertőzött rendszerekre, amelynek segítségével bizalmas adatokat tud kiszivárogtatni a terjesztői számára. A féreg emellett különféle webes átirányításokat is végez, melyek során azt igyekszik elérni, hogy a böngészés során ártalmas weboldalak is betöltődhessenek.
A káros e-mailek tárgya a következő lehet:
"Maradona mesmo nao ganhando cumpre sua promessa... Strepppp... hhahaha."
Amikor a Nabload.DRS féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windows%CTTFMON.EXE
C:WAKELUAN3.EXE
C:ANSPYWARE.BAT
C:WIPESUP.BAT
2. Módosítja a Windows hosts állományát.
3. A felhasználó által megnyitott egyes weboldalak esetében átirányításokat hajt végre, amelyek eredményeként képessé válik kártékony weblapok megjelenítésére.
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunToolCar = %sysdir%cttfmon.exe
5. Letölt egy olyan kártékony programot, amely adatlopásra is alkalmas.
6. Az előzőekben beszerzett kártevőt feltelepíti, és ennek segítségével adatokat szivárogtat ki.
A hír a Computerworld biztonság rovatában jelent meg.
