Via Yahoo! Messenger en IRC wordt momenteel een namaakversie van Google Toolbar verspreid, die het op de creditcardgegevens van gebruikers voorzien heeft. Berichten die op de twee IM-netwerken worden verspreid moeten onvoorbereide gebruikers naar een pagina lokken die van diverse lekken in IE gebruik maakt om spyware te installeren. Ook zorgt die pagina ervoor dat de hosts-file van de gebruiker wordt overschreven, wat in combinatie met de namaak-toolbar zorgt dat slachtoffers 'zorgvuldig geselecteerde' gegevens te zien krijgen en, wat voor minder ervaren gebruikers erger is, een pop-up die uitnodigt tot de invoer van creditcarddata.
De gebruikte gaten in de IE-beveiliging werden deels ook al gebruikt door CoolWebSearch, waarvan de makers het onderscheid tussen spyware en adware ook al kwijt waren. Volgens een bericht van Imlogic maakt de malware bovendien gebruik van de IM-contacten van de gebruiker om zichzelf verder te verspreiden, wat voor CoolWebSearch-varianten niet eerder werd waargenomen. Bijgewerkte virusscanners zouden overigens geen probleem met de aanval hebben.
:strip_icc():strip_exif()/u/17324/iconlogo.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/63694/spion200_250-150x150.jpg?f=community){kind=small}