Компания Panda Software обнаружила массовую рассылку спама, который содержит новую опасную версию CG троянца Mitglieder (также известного как Bagle.bn). Данные, собранные международной сетью Panda Software, показывают, что новый вредоносный код начинает быстро распространяться в нескольких странах.
Электронные сообщения, в которых был обнаружен новый троянец, обладают пустой темой и телом сообщения, и содержат вложенный файл под названием work.zip. Однако пользователям следует быть осторожными, так как данный троянец рассылается вручную или через компьютеры-зомби, и поэтому характеристики электронного сообщения с Mitglieder.CG могут быть абсолютно иными.
Если пользователь запускает файл с Mitglieder.CG, открывается приложение Блокнот, отображающее слово "Sorry". Одновременно создается файл под названием winshost.exe в системной директории Windows на зараженном компьютере. При перезапуске компьютера этот файл будет запущен и будет создан другой файл под названием wiwhost.exe. Этот файл изменит hosts-файл так, чтобы пользователь не смог получить доступ к определенным сайтам; в основном сайтам, относящимся к антивирусам и программам ИТ-безопасности.
В дополнение троянец удаляет файлы и записи реестра и останавливает процессы, относящиеся к приложениям безопасности, которые могут быть установлены на компьютере.
По словам Луиса Корронса, "целью Mitglieder.CG является скачивание вредоносного ПО на компьютер. Он выполняет это, подключаясь к большому количеству Интернет-адресов и пытаясь скачать файлы, которые вероятнее всего содержат прочее вредоносное ПО, такое как backoor-приложения, программы-шпионы, рекламное ПО, боты и т.д. Это позволяет авторам таких вредоносных кодов создавать сети зараженных компьютеров, чтобы проводить атаки на другие компьютеры или собирать сотни тысяч электронных адресов для последующей рассылки спама".