Mnogi slovenski uporabniki Facebooka so odprli spletno povezavo, ki naj bi vsebovala video posnetek. Namesto filma pa se je na računalnik namestil nevaren trojanski konj, ki ukrade uporabniška imena in gesla ter omogoča upravljanje računalnika na daljavo, brez vednosti uporabnika.

Avtorji trojanskega konja z uporabo ukradenih uporabniških imen in gesel za Facebook pošiljajo sporočila drugim uporabnikom. Besedila so naprimer »Ha,ha,ha is this you?! Check the video«, »I saw this video on google and i saw you ha,ha,ha!«, »Paris Hilton new Porn video!!!« temu pa sledi spletni naslov http://youtube.torrent-galaxy.in, ki se konča z besedo »watch.htm« ali »WHAT.pif«.

Če uporabniki to povezavo odprejo, se jih prikaže okno za prenos datoteke. Ta datoteka pa vsebuje trojanskega konja, ki takoj po namestitvi vzpostavi povezavo z IRC strežnikom, ki omogoča upravljanje računalnika na daljavo.

Trojanski konj tudi izvozi vsa uporabniška imena in gesla za dostop do spletnih strani, ki jih imajo uporabniki shranjene v spletnih brskalnikih Internet Explorer in Firefox.

Protivirusni programi podjetja F-Secure novega trojanskega konja prepoznajo pod imenom "Trojan-Spy:W32/Ardamax.AJ", poskrbijo pa tudi za njihovo odstranitev.

Še pomembno opozorilo: uporabniki morajo po odstranitvi trojanskega konja spremeniti gesla, ki jih uporabljajo za dostop do spletnih storitev (Facebook, Gmail, …).

Katera uporabniška imena in gesla so bila ukradena se lahko preveri tako, da se v Notepadu odpre datoteki i in f (brez podaljška) v mapi TEMP. V datoteki i so podatki iz Internet Explorerja, v datoteki f pa podatki iz Firefoxa.

Ročno odstranjevanje trojanskega konja
 

Start - Zaženi - v okno se vpiše "cmd" in klikne "V redu".

V oknu se zatem vpisuje ukaze:

cd %appdata%
attrib -r -h -s svchost.exe
rename svchost.exe svchost.bak
cd tmp-3
rename svchost.exe svchost.bak

Računalnik se zatem restarta.