Эта рекламная программа попадает на компьютеры следующим способом: когда пользователи просматривают определенные веб-страницы, открывается окно с предложением посмотреть эротические фотографии. Если пользователь соглашается, другое окно сообщает о том, что для просмотра необходимо установить ActiveX. Однако управляющий компонент, который загружается – это рекламный код ImageAccesActiveXObject.

"Мы уже видели рекламное ПО, которое маскировалось под кодеки для просмотра видео, но до сих пор не было кода, который притворялся бы управляющим компонентом ActiveX для просмотра фотографий. Это уже превратилось в стратегию для обмана пользователей. Они думают, что соглашаются на установку легальной утилиты, а в действительности инсталлируют себе на компьютер рекламный код", - объясняет Луис Корронс, технический директор PandaLabs.

После установки рекламная программа открывает страницу с эротическими фотографиями. Однако пользователи ничего там не увидят, потому что окажется, что домен недоступен.

Данный вредоносный код также загружает на ПК другое рекламное ПО. Одним из первых скачивается SpyLocked. Этот код предназначен для демонстрации пользователю сообщений о том, что компьютер заражен, и он даже обнаруживает ImageAccesActiveXObject. Но не позволит очистить компьютер от вредоносного кода до тех пор, пока пользователь не зарегистрирует продукт.

"Мы уже обнаруживали этот код под другими названиями, такими как SpywareQuake или VirusBurst. Происходит следующее – когда создатели видят, что их утилита получила широкую известность среди пользователей, и никто уже не загружает еe из сети, они просто меняют еe название", - объясняет Луис Корронс.

ImageAccesActiveXObject также загружает рекламную программу Securitytoolbar. Она предназначена для встраивания фальшивой панели в BHO (Browser Helper Object) и показывает всплывающие окна, а также создает на рабочем столе ссылки на определенные веб-страницы.