Am Mittwoch, dem 24. Juni erschien im Microblog eines ehemaligen Mitarbeiters von Apple eine Meldung mit dem Header "Leighton Meester sex tape video free download!" und einem Link, der andere Nutzer auf eine Website mit Malware weiterleitet. Dieser Microblog erfreut sich bei Twitter-Nutzern großer Beliebtheit und verzeichnet rund 140 000 Abonnenten. Beim Anklicken der Meldung gelangten interessierte Internetnutzer durch den Kurzlink-Dienst www.bit.ly auf die Videohosting-Seite www.nowpublic.com mit dem oben genannten Spot. Danach wurde man auf die Seite http://worldt**e.su umgeleitet und anschließend gebeten, das Codec ActiveXsetup.exe herunterzuladen. Das angebliche Codec entpuppte sich als Virus.
Das Schadskript unter http://worldt**e.su erkennt dabei das Betriebssystem des Internetnutzers nach einem User-Agent des Web-Browsers. Bei Web-Browsern unter Windows befindet sich unter der Tarnkappe des Codecs Backdoor.Tdss.119. Bei Browsern unter Mac OS X taucht Mac.DnsChange.2 auf. Nach dem Start von ActiveXsetup.dmg wird auch die Datei install.pkg gestartet, die das Perl-Skript aktiviert. Anschließend wird der Schädling geladen.
Er schiebt dem infizierten System andere DNS-Server-Adressen unter, die Anwender bei ihren Nachfragen in der Adressenzeile ihres Browsers benutzen. Solches Virus-Verhalten kann sowohl bei der Suchmaschinenoptimierung als auch beim Umleiten der Internetanwender auf gefährliche Web-Inhalte verwendet werden. Kurz nach dem Auftauchen der berüchtigten Meldung wurde der Link unter http://www.nowpublic.com/, der auf http://worldt..e.su umleitete, gelöscht. Nichtsdestotrotz war der Link über 10 Stunden aktiv. Er wurde an Abonnenten versendet und von ihnen mehrmals zitiert.
Die Sicherheitsspezialisten von Doctor Web empfehlen deshalb nur lizenzierte Antivirensoftware mit neuesten Updates zu benutzen. Internetanwender, die Dr.Web Security Space, Dr.Web Enterprise Suite, Dr.Web für Mac OS X benutzen beziehungsweise Dr.Web Antivirus-Service abonnieren, sind dabei zuverlässig geschützt.