19 июля 2005 Компания Trend Micro обнаружила новую «троянскую» программу – TROJ_DONBOMB.A – которая использует недавние террористические акты в Лондоне как основу для своего распространения. Эта программа поступает пользователю по электронной почте, когда он нажимает на гиперссылку, которая как будто бы ведет на сайт CNN. В тексте сообщения содержится модифицированная HTML-копия Web-страницы CNN, посвященной Лондонской трагедии, с дополнением, которое предлагает просмотреть любительское видео об этом событии.

Троянская программа TROJ_DONBOMB.A стала последним случаем все более популярной «социотехники», когда злоумышленники имитируют реальные новостные агентства с целью ускорить распространение вредоносных программ. Хотя использование недавних популярных событий в таких целях старо, как сами эти вредоносные программы, имитация новостных агентств стала относительно новой практикой, которая может приобрести еще большее распространение в будущем. Ниже перечислены некоторые другие вредоносные программы, которые используют (или использовали) эту методику: Семейство червей BOBAX, варианты которых появились в первой половине 2005 г. Недавно (2 июня 2005 г.) была обнаружена разновидность этого червя BOBAX.P. Каждый вариант этого семейства содержит историю, фальсифицирующую либо смерть Осамы Бен Ладена, либо Саддама Хуссейна, и обещающую предоставить соответствующею информацию, фотографии и т.д. BOBAX.P представляет собой смешанную вредоносную программу (троян/червь), целью которой является загрузка программы TROJ_SMALL.AHE. Последняя распространяет «червя», обеспечивая его запись в память компьютера. Вредоносные программы этого семейства заразили более 53.000 компьютеров.* Вредоносная программа VBS_PHEL.P (обнаружена 10 июня 2005 г.), которая фальсифицирует попытку самоубийства поп-звезды Майкла Джексона в ходе столь широко освещавшегося судебного разбирательства по обвинению в совращении несовершеннолетнего ребенка. Эта вредоносная программа использует уязвимое место HTML Help File Code Execution (MS00-037), которое позволяет запускать программный код с помощью нажатия ярлыков в справочных HTML-файлах без одобрения пользователя. После начала исполнения кода эта вредоносная программа отправляет сообщения на адреса Gmail.com, Hotmail.com и Yahoo.com. Данный вирус использует уязвимое место, известное уже в течение пяти лет, но, тем не менее, ему до сих удается заражать компьютеры по всему миру. Червь WORM_ANTIMAN.A (обнаружен 26 апреля 2005 г.), один из вариантов которого «обещает» показать видео, раскрывающее «истинные причины», которые привели к смерти папы Иоанна Павла II. Этим червем заразились лишь несколько сотен компьютеров (Источник: Trend Micro World Virus Tracking Center). Он сканирует жесткие диски компьютера и удаляет мультимедийные файлы, которые содержат определенные последовательности. Все образцы этого червя были написаны на румынском языке, что, возможно, привело к необычно низкому уровню заражения. Джейми Линдон Янеза (Jaime Lyndon Yaneza), старший исследователь компании Trend Micro, которая занимается обеспечением безопасности контента и производством антивирусных программ, считает, что эта методика станет еще более популярной в ближайшем будущем. «Люди всегда жаждут «острых» новостей, хорошие они или плохие», - говорит Янеза. «Эффективная социотехника базируется на максимальном привлечении внимания людей. Создателям вредоносных программ, которые достаточно циничны, чтобы воспользоваться человеческой трагедией к своей выгоде, эта методика покажется весьма привлекательной». Троянская программа DONBOMB.A используется для сбора адресов электронной почты из зараженной системы с целью дальнейшей рассылки спама благодаря собственному SMTP-механизму. На данный момент еще не известно, сколько систем было заражено в ходе последней атаки. Однако по мнению Янеза: «Проблемой является не степень успеха этой атаки, а тревожная тенденция использовать человеческую трагедию для приобретения известности в результате широкого распространения такого вредоносного ПО».