Durch ein Pop-up-Fenster der Webseite www4.yesadvertising.com wird der Nutzer automatisch auf die gefährliche Website www.eva.ee geleitet. Diese Seite nutzt eine bekannte Schwachstelle des Internet Explorers aus, indem eine .chm-Datei geladen und ausgeführt wird. Dann wird von der "eva"-Seite das photos.php Script der Seite www.mymaydayinc.com ausgeführt, indem der iframe-Tag (der HTML-Befehl für eingebettete Frames) dem Browser eine HTML-Datei sendet, die eine GIF-Datei mit dem Namen img1big.gif enthält. Diese GIF-Datei besteht allerdings in Wahrheit aus zwei Win32-Executables, die mit dem Open Source-Kompressor UPX komprimiert wurden. UPX und andere so genannte Packer sowie Binder (der Verbinder zwischen Library und Executable) werden oft benutzt um signaturbasierte Anti-Virus-Software zu umgehen. Die .chm-Datei bennent sich um und führt danach "img1big.gif" auf dem Desktop aus. Dafür kreiert und installiert sie eine BHO-Datei im Internet Explorer. Wenn der Nutzer nun eine vordefinierte Liste von Banking-Webseiten aufruft und sich einer HTTPS-Verbindung bedient, kann das BHO mittels Keylogging (also der Verfolgung der Tastenkombinationen) ausspionieren, was der Nutzer eingibt. Das Keylogging wird durchgeführt, bevor die Daten SSL-kodiert wurden, also während sie noch ungeschützt sind. Die gestohlenen Informationen werden auf der Seite www.refestltd.com mittels eines Perl-Skripts verarbeitet.
Signaturbasierte Anti-Virus-Lösungen kann WebMoney über die Nutzung von UPX umgehen. Gegen Angriffe dieser Art sind IT-Sicherheitskonzepte, die das Verhalten schädlichen Codes analysieren, bevor er zur Ausführung kommt, besser geeignet. Finjans Vital Security Suite schützt vor WebMoney und anderen Angreifern, indem Aktive Inhalte, Skripte, Prozesse und Anwendungen routinemäßig untersucht werden. Hierfür kommt die Sandbox-Technologie zum Einsatz, die das Verhalten des Codes in einer abgetrennten Umgebung analysiert.
Finjan stellt in seinem Research-Center die Möglichkeit zur Verfügung, den eigenen Rechner auf schädlichen Code zu überprüfen: http://www.finjan.com/...