en rozprzestrzenia się poprzez e-mail. Listy, które go zawierają, zostały rzekomo wysłane przez sieć handlową Wal-Mart i zawierają w załączniku rachunek.
Otworzenie załącznika sprawia, że trojan instaluje keyloggera i sniffera. Komponenty te są odpowiedzialne za monitorowanie ruchów myszy, wpisywanych adresów, kradzież cennych haseł i loginów stosowanych na stronach, a także haseł używanych w sesjach ICQ i FTP. FormSpy monitoruje ponadto ruch pocztowy.
Charakterystyczne dla trojana jest to, że udaje on rozszerzenie Numberedlinks 0.9 do przeglądarki Firefox. W czasie instalacji dowolnego rozszerzenia użytkownik Fx jest zawsze pytany o zgodę na instalację, ale FormSpy nie jest tak grzeczny i trafia do folderów Firefoksa bez wiedzy zaatakowanego.
W razie wątpliwości można sprawdzić listę zainstalowanych rozszerzeń (Narzędzia -> Rozszerzenia). Jeśli niespodziewanie pojawiło się na niej rozszerzenie Numberedlinks 0.9 oznacza to, że przeglądarka została zainfekowana.
Trojan FormSpy wykorzystuje do instalacji innego trojana – VBS/Psyme. Ten z kolei wykorzystuje usterkę w przeglądarce IE. Działanie szkodliwego kodu nie opiera się więc o luki w przeglądarce Firefox.
Zdaniem ekspertów z McAfee cyberprzestępcy będą coraz częściej szukać dróg do zaatakowania Firefoksa, którego można już nazwać przeglądarką popularną. Właśnie sposób instalowania rozszerzeń może szczególnie zainteresować oszustów, a więc powinni mu się baczniej przyjrzeć również programiści Mozilli.
Źródło: Dziennik Internautów http://www.di.com.pl/