Lafool.v представляет собой документ Word с именем «McAfee Inc. Reports.doc» размером 80 635 байт, якобы содержащий отчет о распространении вредоносных программ в сети.

Документ содержит макрос, написанный на языке VBA, который извлекает из собственных ресурсов и запускает на исполнение троянскую программу. Она представляет собой новую модификацию небезызвестного LdPinch, ворующего пароли для различных сервисов и прикладных программ, в том числе AOL Instant Messenger и ICQ, и личную информацию пользователей. Антивирус Касперского детектирует новую версию данной вредоносной программы как Trojan-PSW.Win32.LdPinch.bbg.

Проактивная защита, встроенная в Антивирус Касперского и Kaspersky Internet Security 6.0, успешно обнаруживает и пресекает активность троянской программы, а именно:

попытку исполнения подозрительной макро-команды;
попытку сбора персональных данных;
попытку запустить Интернет-браузер с параметрами командной строки;
попытку скрытно отослать собранные данные через запущенный браузер.
Запрещение пользователем выполнения любого из этих действий блокирует деятельность троянца (LdPinch либо не запустится, либо не сможет осуществлять свою вредоносную деятельность). Стоит отметить, что используемая технология скрытой отсылки данных впервые была реализована в известном лик-тесте PC Flank Leaktest (http://www.pcflank.com/pcflankleaktest.htm).

По мнению специалистов «Лаборатории Касперского», компания McAfee не имеет отношения к рассылке данного троянца, а почтовый адрес mcafee@europe.com, указанный злоумышленниками в качестве адреса отправителя, является ложным и используется с целью обмануть бдительность получателей зараженных писем.

Обновление антивирусных баз, включившее в себя Lafool.v, было выпущено 31 октября 2006 года. Всем пользователям Антивируса Касперского рекомендуется обновить базы.

Пользователям также рекомендуется быть внимательными и не открывать письма от неизвестных адресатов с подозрительными вложениями.