卡巴斯基实验室报告，一种名为 Win32.Webber (又名“Heloc”) 新型木马病毒正通过电子邮件传播。该实验室已经收到了关于该病毒的众多报告。

　　 “Webber”病毒安装代理服务，通过代理服务可以发送出染毒计算机上的任何数据。上周，卡巴斯基实验室已经侦测到三种此类型的木马程序。

　　 从本质上来说，我们现在遇到的情况是：“黑客利用染毒计算机的资源来创建非法的扩展网络，用来发送垃圾信件。”卡巴斯基实验室反病毒研究及产品设计领导者尤今.卡巴斯基（Eugene Kaspersky）评价说：“现在最麻烦的是网络已经被非法使用达到任何目的，包括帮助黑客对大型企业或政府事业机构网站资源发起全球性的DDos攻击。”

　　 从2003年7月16日起，“Webber”病毒利用邮件在互联网上开始传播。

　　 该病毒的邮件的主题为：

　　 “Re: Your credit application”

　　 内容：

　　 Dear sir,

　　Thank you for your online application for a Citibank Home Equity Loan.

　　In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs.

　　Consequently, we regret to say that we cannot approve you for Citibank Home Equity Loan at this time.

　　*Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing next few days.

　　 并携带名为"web.da.us.citi.heloc.pif"的附件。文件的名字类似于一个网站地址，所以可以轻易的迷惑用户执行染毒文件。一旦运行，此病毒会秘密的从一个远端网站服务器上下载附加的组件并安装。该Trojan的三个组件：

　　EXE downloader (5664 bytes of size)

　　EXE trojan (39140 bytes of size)

　　DLL component (5633 bytes of size)

　　 该病毒会在系统注册表中自动修改运行键值：

　　HKCR\CLSID\{79FA9088-19CE-715D-D85A-216290C5B738}

　　InProcServer32 = %trojan DLL name%

　　ThreadingModel = Apartment

　　HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

　　Web Event Logger = {79FA9088-19CE-715D-D85A-216290C5B738}

　　 中了该木马程序的计算机会被从内存中提取密码并发送给"主人"（控制此木马的黑客）。